黑客针对欧洲的超级计算机开采XMR!上周,欧洲的超级计算机成为了一次广泛的,看似协调一致的网络安全攻击的受害者,遭到了针对非法采矿 Monero(XMR)的恶意软件安装的打击。
德国超级计算机受影响最大
上周,德国,西班牙和瑞士的超级计算机通过个人报告证实了感染。所有实例都有一些共同点,例如类似的网络指示器和文件名,以及经过编程以专门挖掘市值排名全球第14大的加密货币Monero的恶意软件。
然而,克里斯·杜曼 CADO安全的注意,以高科技出版物网易科技认为袭击没有明确的证据正在与一个演员/组存在,除了类似上述。
截至发稿时,还没有任何组织公开宣布对这次袭击负责。截至5月18日,尚未有任何受害者报告其他漏洞,这表明该攻击可能目前尚未激活。
同时,门罗币似乎是非法采矿者的简单目标。从历史上看,加密货币一直是许多采矿恶意软件攻击的中心,正如CryptoSlate在此处和此处的报告中所广泛报道的那样。
运行ARCHER超级计算机的爱丁堡大学首先报告了入侵事件。他们在登录节点上检测到漏洞,如此处所述,并迅速关闭计算机以防止进一步的攻击。所有安全外壳(SSH)密码均已重置,以作为其他安全措施。
德国的bwHPC 宣布,在类似的“安全事故”发生后,五个超级计算机集群被关闭,这些集群都出现在该国以技术为中心的大学中,例如斯图加特大学和图宾根大学。后来,莱布尼兹计算中心和德累斯顿工业大学也确认在安全“违反”之后断开了计算机集群的连接。
瑞士国家超级计算机中心是最后一个确认违规的中心,该中心称在发生“网络安全事件”后“对其基础设施的外部访问”。
采矿攻击可能没有激活
值得注意的是,大学的任何公告都没有透露有关入侵的确切性质的详细信息,也没有确认安装挖矿恶意软件。
但是基于恶意软件样本,欧洲计算机安全事件响应小组(CSIRT)发布了调查结果,并指出在某些攻击实例中部署了“ XMR 挖掘主机”。
该团队进一步提到了代理主机,并指出:
攻击者使用来自XMR 挖掘主机的这些主机连接到其他XMR代理主机,并最终连接到实际的挖掘服务器。
在一个实例中,XMR 采矿机器人被配置为仅在夜间运行,以防止被发现。
Cado Security的个人分析发现,攻击者似乎利用了“ CVE-2019-15666”漏洞来获得root用户访问权限,此后很可能安装了用于挖掘Monero的应用程序。
该公司根据其研究表明,攻击者可能已经使用了受感染的SSH凭据来访问超级计算机,而被盗的登录名分别属于波兰和中国的大学。