{"id":231740,"date":"2020-05-16T03:48:18","date_gmt":"2020-05-16T01:48:18","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=231740"},"modified":"2021-12-31T17:44:31","modified_gmt":"2021-12-31T16:44:31","slug":"hochleistungsrechner-in-europa-nach-angriff-abgeschaltet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/05\/16\/hochleistungsrechner-in-europa-nach-angriff-abgeschaltet\/","title":{"rendered":"Hochleistungsrechner in Europa nach Angriff abgeschaltet"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/05\/16\/hochleistungsrechner-in-europa-nach-angriff-abgeschaltet\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Mehrere Hochleistungsrechner in Europa wurden von Cyber-Kriminellen angegriffen und sind inzwischen au\u00dfer Betrieb genommen worden. So ganz klar ist noch nicht, was das Ziel des Angriffs war. <strong>Erg\u00e4nzung:<\/strong> Nun ist klar, die Angreifer haben\u00a0Krypto-Geld gesch\u00fcrft.<\/p>\n<p><!--more--><\/p>\n<h2>Hochleistungsrechner offline genommen<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/c17631bf511b4c8f82e5367537dcfb2a\" alt=\"\" width=\"1\" height=\"1\" \/>Es geht um Rechenzentren in Europa, in denen Hochleistungsrechner (Supercomputer) f\u00fcr die Forschung stehen. Dort werden z.B. Simulationen f\u00fcr die Suche nach Medikamenten gegen Covid-19 ablaufen gelassen. heise <a href=\"https:\/\/www.heise.de\/security\/meldung\/Mehrere-Hochleistungsrechenzentren-in-Europa-angegriffen-4721393.html\" target=\"_blank\" rel=\"noopener noreferrer\">berichtete hier<\/a> von Informationen, dass verschiedene europ\u00e4ische Hochleistungsrechenzentren in den vergangenen Tagen den Zugriff auf ihre Rechenkapazit\u00e4ten mit dem Hinweis auf \"Sicherheitsprobleme\" gestoppt haben.<\/p>\n<ul>\n<li>Leibniz Supercomputing Center (LSC) in Garching <a href=\"https:\/\/web.archive.org\/web\/20200620135633\/https:\/\/www.lrz.de\/aktuell\/ali00856.html\" target=\"_blank\" rel=\"noopener noreferrer\">schreibt auf seiner Statusseite<\/a> am 14. Mai 2020: <em>Wir k\u00f6nnen einen Sicherheitsvorfall best\u00e4tigen, von dem unsere Hochleistungsrechner betroffen sind. Sicherheitshalber haben wir deshalb die betroffenen Maschinen von der Au\u00dfenwelt abgeschottet. Die Benutzer und die zust\u00e4ndigen Beh\u00f6rden sind informiert. Wir halten Sie \u00fcber weitere Details auf dem Laufenden, bitten jedoch um Verst\u00e4ndnis, dass wir keine Aussagen machen, so lange wir die Lage noch untersuchen. Wir sind zudem in engem Austausch mit unseren Partnern beim Gauss Supercomputing Centre und der Gauss-Allianz, sowie unseren europ\u00e4ischen Partnern bei PRACE.<\/em><\/li>\n<li>Der Hochleistungsrechner Hawk am Stuttgarter H\u00f6chstleistungsrechenzentrum (HLRS) ist laut einer <a href=\"https:\/\/web.archive.org\/web\/20201104041053\/https:\/\/websrv.hlrs.de\/cgi-bin\/hwwweather\" target=\"_blank\" rel=\"noopener noreferrer\">Statusmeldung<\/a> vom 10. Mai 2020 'wegen eines Sicherheitsvorfalls abgeschaltet' (Hawk was shut down due to a security incident).<\/li>\n<li>Die Statusseite des <a href=\"https:\/\/web.archive.org\/web\/20211117174448\/https:\/\/dispatch.fz-juelich.de:8812\/HIGHMESSAGES\" target=\"_blank\" rel=\"noopener noreferrer\">Rechenzentrums in J\u00fclich<\/a> meldet, dass das System wegen eines IT-Sicherheitsvorfalls nicht verf\u00fcgbar sei (Due to an IT security incident, the system is currently unavailable.)<\/li>\n<\/ul>\n<p>Details werden von den Rechenzentren keine genannt \u2013 aber es sind wohl weitere europ\u00e4ische Supercomputer betroffen. heise erw\u00e4hnt Rechenzentren in Schottland, die angeben, dass mehrere Rechner im Vereinigten K\u00f6nigreich und anderswo in Europa kompromittiert worden seien. Nutzer der Hochleistungsrechner bwUniCluster 2.0 und ForHLR II am Karlsruher Institut f\u00fcr Technologie (KIT) wurden vom Betreiber per E-Mail \u00fcber einen \"schweren Sicherheitsvorfall\" informiert. Die Systeme seien durch Angriffe \u00fcber gestohlene Nutzer-Accountdaten kompromittiert worden. Eine schnelle Behebung des Problems sei nach aktuellem Kenntnisstand unwahrscheinlich.<\/p>\n<p>In Fefes-Blog hat Felix von Leitner einige Stimmen aus der Gemeinde der betroffenen Forscher <a href=\"https:\/\/blog.fefe.de\/?ts=a04505b4\" target=\"_blank\" rel=\"noopener noreferrer\">gesammelt<\/a>. Dort wird eine Quelle aus J\u00fclich mit der Information '<i>A backdoor was identified on several of our HPC systems.'<\/i> zitiert. Dort spekuliert jemand, dass der Angriff \u00fcber die Salt-Sicherheitsl\u00fccke erfolgt sein k\u00f6nnte (siehe meinen Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/05\/05\/sicherheitsmeldungen-5-mai-2020\/\">Sicherheitsmeldungen 5. Mai 2020<\/a> und <a href=\"https:\/\/borncity.com\/blog\/2020\/05\/04\/lineageos-server-am-2-mai-2020-gehackt\/\">LineageOS-Server am 2. Mai 2020 gehackt<\/a>).<\/p>\n<h2>Spekulationen \u00fcber den Zweck des Hacks<\/h2>\n<p>Es gibt Spekulationen, dass China Spionage betreibe und an Daten zur Forschung an Covid-19-Therapien herankommen wolle. SPON <a href=\"https:\/\/www.spiegel.de\/netzwelt\/web\/hacker-angriff-mehrere-supercomputer-in-europa-kompromittiert-a-e7abe6d3-14f5-462a-8db8-3ac3293fe502\" target=\"_blank\" rel=\"noopener noreferrer\">berichtet hier<\/a> aber, dass die Angriffe schon vor Monaten \u00fcber einen gekaperten Account begonnen h\u00e4tten, aber lange unentdeckt blieben. Laut <a href=\"https:\/\/www.spiegel.de\/netzwelt\/web\/hacker-angriff-mehrere-supercomputer-in-europa-kompromittiert-a-e7abe6d3-14f5-462a-8db8-3ac3293fe502\" target=\"_blank\" rel=\"noopener noreferrer\">diesem SPON-Artikel<\/a> sind sechs Supercomputer in Deutschland kompromittiert. In der <a href=\"https:\/\/www.sueddeutsche.de\/digital\/supercomputer-hacker-garching-corona-1.4909397\" target=\"_blank\" rel=\"noopener noreferrer\">S\u00fcddeutsche Zeitung<\/a> wird Dieter Kranzlm\u00fcller, Leiter des Leibniz-Rechenzentrums in Garching bei M\u00fcnchen, zitiert, <em>dass es den Hackern durch die enge Vernetzung der Supercomputer erm\u00f6glicht wurde, auch in andere Rechenzentren einzudringen<\/em>. Das bedeutet, dass viele Rechenzentren mit diesen Hochleistungsrechnern (Cray) betroffen sind.<\/p>\n<p>Welchen Schaden die Hacker angerichtet haben, scheint aktuell unklar. \"Aus den sogenannten Logfiles, die Aktivit\u00e4ten auf den Computern erfassen, sei nicht ersichtlich, dass gr\u00f6\u00dfere Datenmengen abgeflossen seien\", wird Kranzlm\u00fcller zitiert. Und weiter: \"Die Maschinen arbeiten weiter, aber sind von der Au\u00dfenwelt abgeschnitten.\" Der Grund: Die Betreiber haben die Verbindung zur Au\u00dfenwelt gekappt, d.h. die Forscher k\u00f6nnen nicht mehr auf die Rechner zugreifen, die Projekte sind zum Stillstand gekommen. Daher r\u00e4tseln die Betreiber, was die Angreifer mit der implementierten Backdoor vor hatten. Denn die erbeuteten Daten sind f\u00fcr die Hacker nutzlos, da nur die Forscher deren Bedeutung durch die Simulationsmodelle kennen. Und die Forscher ver\u00f6ffentlichen die Ergebnisse, sobald diese vorliegen.<\/p>\n<h2>Krypto-Geld gesch\u00fcrft<\/h2>\n<p>Erg\u00e4nzung: Nachdem der Beitrag hier erschienen ist, hat Catalin Cimpanu das Thema aufgegriffen (siehe nachfolgender Tweet).<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Supercomputers hacked across Europe to mine cryptocurrency<\/p>\n<p>&#8211; Confirmed intrusions at supercomputers in the UK, Germany, Switzerland<br \/>\n&#8211; Unconfirmed intrusion at a supercomputer in Spain<a href=\"https:\/\/t.co\/C5IvEZopgw\">https:\/\/t.co\/C5IvEZopgw<\/a> <a href=\"https:\/\/t.co\/AEkahV0Lti\">pic.twitter.com\/AEkahV0Lti<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1261743783751888897?ref_src=twsrc%5Etfw\">May 16, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Zum Samstag Morgen hat das Computer Security Incident Response Team (CSIRT) f\u00fcr die European Grid Infrastructure (EGI), eine gesamteurop\u00e4ische Organisation, die die Forschung an Supercomputern in Europa koordiniert, Malware-Samples und Indikatoren f\u00fcr Netzwerk-Kompromittierungen aus einigen dieser Vorf\u00e4lle <a href=\"https:\/\/csirt.egi.eu\/academic-data-centers-abused-for-crypto-currency-mining\/\" target=\"_blank\" rel=\"noopener noreferrer\">ver\u00f6ffentlicht<\/a>.<\/p>\n<p>Die Malware-Beispiele wurden von Cado Security, einer in den USA ans\u00e4ssigen Cyber-Sicherheitsfirma, \u00fcberpr\u00fcft. Das <a href=\"https:\/\/web.archive.org\/web\/20201103073746\/https:\/\/www.cadosecurity.com\/2020\/05\/16\/1318\/\" target=\"_blank\" rel=\"noopener noreferrer\">Unternehmen gibt<\/a> an, dass die Angreifer sich offenbar \u00fcber kompromittierte SSH-Zugangsdaten Zugang zu den Supercomputer-Clustern verschafft haben.\u00a0Die Zugangsdaten scheinen von Universit\u00e4tsangeh\u00f6rigen aus Universit\u00e4ten in Kanada, China und Polen gestohlen worden zu sein. Diese hatten Zugang zu den Supercomputern, um Rechenauftr\u00e4ge auszuf\u00fchren.<\/p>\n<p>Chris Doman, Mitbegr\u00fcnder von Cado Security, gab gegen\u00fcber ZDNet an, dass es zwar keine offiziellen Beweise daf\u00fcr gebe, dass alle Einbr\u00fcche von derselben Gruppe durchgef\u00fchrt wurden. \u00c4hnliche Malware-Dateinamen und Netzwerkindikatoren hindeuteten aber darauf , dass es sich um denselben Angreifer handeln k\u00f6nnte.<\/p>\n<p>Laut Domans Analyse scheinen die Angreifer, sobald sie Zugang zu einem Supercomputer-Knotenpunkt erlangt hatten, einen Exploit f\u00fcr die Schwachstelle CVE-2019-15666 im Linux-Kernel genutzt zu haben, um Root-Zugriff zu erlangen und dann eine Anwendung einzusetzen, die die Krypto-W\u00e4hrung Monero (XMR) sch\u00fcrft. Auf Github gibt es noch einige Infos, wenn ich <a href=\"https:\/\/twitter.com\/cyb3rops\/status\/1261627340104368128\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Tweet<\/a> richtig interpretiere.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">YARA rules to detect Linux malware used in attacks on academic data centres<a href=\"https:\/\/t.co\/Qsfxehkz8b\">https:\/\/t.co\/Qsfxehkz8b<\/a> <a href=\"https:\/\/t.co\/oN0zuRtkJ0\">pic.twitter.com\/oN0zuRtkJ0<\/a><\/p>\n<p>\u2014 Florian Roth (@cyb3rops) <a href=\"https:\/\/twitter.com\/cyb3rops\/status\/1261627340104368128?ref_src=twsrc%5Etfw\">May 16, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Mehrere Hochleistungsrechner in Europa wurden von Cyber-Kriminellen angegriffen und sind inzwischen au\u00dfer Betrieb genommen worden. So ganz klar ist noch nicht, was das Ziel des Angriffs war. Erg\u00e4nzung: Nun ist klar, die Angreifer haben\u00a0Krypto-Geld gesch\u00fcrft.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[3347,8064,4328],"class_list":["post-231740","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-backdoor","tag-rechner","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/231740","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=231740"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/231740\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=231740"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=231740"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=231740"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}