Supercomputer in ganz Europa wurden letzte Woche Opfer eines weit verbreiteten und scheinbar koordinierten Cyberangriffs. Dabei wurden diese mit illegalen Installationen von Malware betroffen, die sich auf das Mining von Monero (XMR) konzentrierten.
Deutsche Supercomputer am stärksten betroffen
Einzelne Berichte bestätigen, dass Supercomputer in Deutschland, Spanien und der Schweiz letzte Woche betroffen waren. Alle Instanzen hatten einige Details gemeinsam – wie ähnliche Netzwerkindikatoren und Dateinamen sowie eine Malware, die speziell für Monero (XMR), die nach Marktkapitalisierung 14. größte Kryptowährung der Welt, programmiert wurde.
Chris Doman von Cado Security stellte gegenüber der Fachzeitschrift ZDNet jedoch fest, dass es abgesehen von den oben genannten Ähnlichkeiten keine eindeutigen Beweise dafür gibt, dass die Angriffe mit einem Akteur oder einer Gruppe ausgingen.
Die Universität von Edinburgh, die den ARCHER-Supercomputer betreibt, meldete als erste einen Eingriff. Sie haben die hier veröffentlichte Ausnutzung auf ihren Anmeldeknoten festgestellt und den Computer schnell heruntergefahren, um weitere Angriffe zu verhindern. Alle SSH-Kennwörter (Secure Shell) wurden als zusätzliche Sicherheitsmaßnahme zurückgesetzt.
Das deutsche bwHPC gab bekannt, dass fünf Supercomputer-Cluster nach ähnlichen „Sicherheitsvorfällen“ geschlossen wurden, die alle an technologieorientierten Universitäten des Landes wie an der Universität Stuttgart und Tübingen vorhanden sind. Später bestätigten das Leibniz Computing Center und die Technische Universität Dresden auch die Trennung ihrer Computercluster nach einer Sicherheitsverletzung.
Das Schweizerische Supercomputing-Zentrum bestätigte als letztes einen Vorfall und gab nach einem „Cybersicherheitsvorfall“ den „externen Zugang“ zu seiner Infrastruktur an.
Monero (XMR) Miningattacke wohl nicht aktiv
Insbesondere enthüllte keine der Ankündigungen der Universität Details zur genauen Art der Eingriffe und bestätigte nicht die Installation von Mining-Malware.
Basierend auf den Malware-Beispielen veröffentlichte das europäische Computer Security Incident Response Team (CSIRT) seine Ergebnisse und stellte fest, dass während bestimmter Angriffsinstanzen „XMR-Mining-Hosts“ bereitgestellt wurden.
Das Team verwies ferner auf Proxy-Hosts und stellte fest:
Der Angreifer verwendet diese Hosts von den XMR-Mining-Hosts, um eine Verbindung zu anderen XMR-Proxy-Hosts und schließlich zum eigentlichen Mining-Server herzustellen.
In einem Fall wurde ein XMR-Mining-Bot so konfiguriert, dass er nur nachts arbeitet, vermutlich um eine Erkennung zu verhindern.
Die individuelle Analyse von Cado Security ergab, dass Angreifer eine Sicherheitsanfälligkeit „CVE-2019-15666“ ausnutzen, um einen Root-Zugriff zu erhalten. Anschließend wurde wahrscheinlich eine Anwendung für das Mining von Monero (XMR) installiert.
Basierend auf seinen Untersuchungen gab das Unternehmen an, dass Angreifer möglicherweise kompromittierte SSH-Anmeldeinformationen verwendet haben, um Zugang zu Supercomputern zu erhalten. Die gehackten Logins gehören Universitäten in Polen und China.
Zum Zeitpunkt des Verfassens hat keine Gruppe öffentlich die Verantwortung für den Angriff übernommen. Bis zum 18. Mai wurden von keinem Opfer zusätzliche Sicherheitslücken gemeldet, was darauf hinweist, dass der Angriff derzeit möglicherweise nicht aktiv ist.
In der Zwischenzeit scheint Monero ein leichtes Ziel für illegale Miner zu sein. In der Vergangenheit stand die Kryptowährung im Mittelpunkt vieler Mining-Malware-Angriffe.
Wichtige News verpasst?
Weitere Informationen rundum Bitcoin, Kryptowährungen und Blockchain findest du in dem aktuellen Video.
Diskutiere mit unserer Community über dieses und viele weitere Themen in der kostenlosen Telegram-Gruppe. Du möchtest keine News verpassen und immer auf den aktuellen Stand sein? Dann komm in unseren Telegram-Channel oder folge unsere Social Media Kanäle.
