Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Criminelen misbruiken Europese supercomputers voor cryptomining

Meerdere supercomputers in Europa zijn stilgelegd na beveiligingsincidenten. Daarbij werd software aangetroffen om cryptovaluta monero te minen. De criminelen kregen toegang via gekaapte ssh-logins.

Vorige week vonden beveiligingsincidenten plaats bij supercomputers in Duitsland, het VK en Zwitserland, en vermoedelijk ook in Spanje. Vorige week maandag kondigde een onderzoeksinstituut in de Duitse deelstaat Baden-Württemberg aan dat vijf van zijn clusters last hadden van beveiligingsincidenten.

Donderdag meldde het Leibniz Computing Center een computingcluster van internet te hebben afgesloten na een beveiligingsprobleem en vrijdag volgden drie supercomputers van het Duitse Jülich Research Center en de Taurus-supercomputer van de Technische Universiteit Dresden. Zaterdag bleek bovendien een supercomputer van de Ludwig-Maximilians-universiteit in München getroffen te zijn.

In Zwitserland is de externe toegang tot een supercomputer van het Swiss Center of Scientific Computations stopgezet na een cyberincident en in het VK heeft de University of Edingburgh zijn Archer-supercomputer uitgezet na misbruik van logins. Volgens beveiligingsonderzoeker Felix von Leitner is daarnaast een supercomputer in Barcelona getroffen. ZDNet zet alle incidenten op een rij.

Een verband tussen de incidenten is nog niet bewezen, maar het Computer Security Incident Response Team voor de European Grid Infrastructure rapporteert over twee incidenten en claimt dat een criminele groepering zich op academische datacenters richt om cryptovaluta te delven en van het ene op het andere slachtoffer overspringt via buitgemaakte ssh-inloggegevens.

Het responsteam heeft bij zijn onderzoek software om de cryptovaluta monero te minen aangetroffen en meldt dat is ingelogd via de netwerken van de Poolse Universiteit van Krakow, de Shanghai Jiao Tong University en het China Science and Technology Network. De groepering gebruikt verschillende technieken om de activiteit te maskeren waaronder een Linux-rootkit en log-cleaners. Ook draaien ze de miner in sommige gevallen alleen 's nachts. Volgens het team richt de groepering zich ook op instanties in China en Noord-Amerika.

Cado Security heeft een eerste korte analyse van de incidenten gepubliceerd en een werknemer van het Leibniz Supercomputing Center heeft enkele door de criminelen gebruikte bestanden ontleed.

Archer, of Advanced Research Computing High End Resource, van de univeriteit van Edingburgh

Door Olaf van Miltenburg

Nieuwscoördinator

18-05-2020 • 09:24

119 Linkedin

Reacties (119)

Wijzig sortering
https://www.cadosecurity.com/2020/05/16/1318/ :

“I work in HPC in the UK. Yesterday I had to revoke all the SSH
certificates on our system because unfortunately some f’ing idiot users
have been using private keys without passcodes. These have been used to
hop from system to system as many HPC users have accounts on different
systems. They are managing local privilege escalation on some systems and
then looking for more unsecured SSH keys to jump to other systems. They
maybe using one or more methods for the privilege escalation, possibly
CVE-2019-15666. Right now the UK national facility ARCHER is off line as
they have suffered a root exploit.

The actors are coming from the following IP addresses, 202.120.32.231 and
159.226.161.107, you get zero guesses which country these are from.”
De werknemer die de analyse heeft gedaan probeert daar antwoord op te geven:

What all this does not show: How did the attackers get in in the first place (possibly by stealing some user's private keys on another compromised machine), how they did the privilege escalation to be able to produce a suid-root file and also, for how long they have been around. As you can see above, the files have a time stamp from over two years ago. But once you are root you can of course set this to whatever you want. But it's not clear why you wanted to back date your backdoor. I should stress that I am only a normal user on that server, so for example I don't have access to the backups to check if these files have really been around for that long.

Furthermore, the things I found are not very sophisticated. Yes, they prevented my to find out what's going on with strings by obfuscating their strings. But the rest was all so straight forward that even amateur like myself with a bit of decompiling could figure our what is going on. Plus leaving your backdoor as a suid program laying around in the file system in plain sight is not very secretive (but possibly enough to be undetected for more than two years). So unless these two files are not explicitly there to be found, the attacker will not be the most subtle one.

Which leaves the question about the attacker's motivation. Was it only for sports (bringing some thousand CPUs under control)? Was it for bitcoin mining (the most direct way to turn this advantage into material gain)? Or did they try to steal data/files etc?


Op het eerste gezicht lijkt het dus niet een echt een echt ingewikkelde hack maar we zullen meer onderzoek moeten afwachten. De privilege escalation zou het kunnen bepalen of het 'gewoon' een student was of een georganiseerde groepering.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True