英國、瑞士、德國、西班牙等國家,先後傳出超級電腦被植入挖礦程式病毒,而暫停營運或對外連線。歐洲EGI CSIRT目前已公布兩起相關的網路攻擊事件,表示駭客竊取了波蘭與加拿大當地大學、中國上海交通大學以及中國科學技術網(CSTNet)的SSH帳密,由此登入超級電腦叢集向其他機構發動攻擊。

上周歐洲包括英國、瑞士、德國、西班牙等國家,先後傳出超級電腦被植入挖礦程式病毒,而暫停營運或對外連線。

首先是英國超級電腦服務ARCHER於5月11日公告, ARCHER因登入節點的安全入侵事故而關閉,由負責管理的愛丁堡平行計算中心及硬體商HP/Cray進行調查。ARCHER並在5月13日要求用戶,重設所有ARCHER密碼及SSH金鑰。

同一天德國貝登符騰堡邦也宣布全邦高效能運算系統(HPC)發生IT安全事件,導致5所大學的超級電腦無法使用。德國巴伐利亞科學院下的萊布尼茲運算中心周四公告,因安全事件波及超級電腦,為防進一步感染,當局已切斷3臺超級電腦和外界的連線。

無獨有偶,周六瑞士科學計算中心(CSCS)也公告,偵測到和前述事件相關的攻擊,也採取切斷外部連線的處置並通知受影響的單位。目前僅CSCS的天氣預測系統MetoSwiss未受影響。

此外,西班牙巴塞隆納的超級電腦,及慕尼黑大學物理學院高速運算叢集,上周也先後被安全研究人員揭露,發生惡意程式攻擊而關閉的消息。

所有受害的研究機構皆未再公布調查結果,但歐洲網格基礎架構(EGI)電腦安全事件回應小組(CSIRT),則公布兩起波及多國超級電腦的網路攻擊事件。攻擊者利用外洩的SSH帳密由一家研究機構跳到另一家,操控受駭超級電腦執行Monero幣(XMR)的採礦,或當成代理伺服器或Tunnel連線主機,用以迂迴連到真正的挖礦主機,或是以SSH連線登入其他超級電腦。

美國安全廠商Cado Security則指出,兩起事件的樣本分別為Loader和Cleaner,前者用以執行攻擊者的指令,後者則還能移除log檔以刪除攻擊證據。至少在英國一案中,攻擊者是開採了超級電腦CVE-2019-15666漏洞,而取得權限升級。

EGI分析,駭客竊取了波蘭與加拿大當地大學、中國上海交通大學以及中國科學技術網(CSTNet)最初的SSH帳密,由此登入超級電腦叢集向其他機構發動攻擊。

這不是第一次超級電腦被用來挖礦。ZDNet報導,俄羅斯核子中心及澳洲氣象局的超級電腦,在2018年都發生被用來挖礦的資安事件,但是內部員工所為。近期歐洲地區多臺超級電腦被植入挖礦程式事件,卻是由駭客所犯下。


Advertisement

更多 iThome相關內容