研究人員發(fā)現(xiàn)上周歐洲多個用于科研項目的高性能計算機(HPC)和數(shù)據(jù)中心由于發(fā)生網(wǎng)絡(luò)安全事件被迫關(guān)閉。位于德國、英國和瑞士的數(shù)十個超級計算機受到影響，科研項目被迫暫停。其中有的計算機早在今年1月就被黑了。

超級計算機是構(gòu)建在傳統(tǒng)硬件上的非常強大的系統(tǒng)，用來執(zhí)行高度計算。主要用于科學(xué)計算和測試復(fù)雜的物理現(xiàn)象和設(shè)計的數(shù)學(xué)模型。

德國服務(wù)器集群被黑

上周一，因受到網(wǎng)絡(luò)攻擊，德國和英國的超級計算機被迫關(guān)閉。5月11日，由于登陸節(jié)點的安全漏洞利用導(dǎo)致英國國家超算服務(wù)ARCHER暫停服務(wù)。官方發(fā)布消息稱，已提交的任務(wù)仍將正常運行，但無法登陸或提交新的任務(wù)。此外，口令和SSH key將被重置。服務(wù)重啟開始后，用戶登陸時需要2個憑證：含有passphrase(密碼)的SSH key和新的ARCHER口令。

位于德國的Baden-Württemberg High Performance Computing (bwHPC)項目同日也稱遭遇了網(wǎng)絡(luò)安全事件，使得5個服務(wù)器集群無法使用，恢復(fù)事件待定，包括：

• 卡爾斯魯厄理工學(xué)院的bwUniCluster 2.0
• 卡爾斯魯厄理工學(xué)院的ForHLR II
• 用于化學(xué)應(yīng)用的bwForCluster JUSTUS
• 位于University of Tübingen的bwForCluster BinAC，用于生物信息學(xué)和航天項目
• Hawk，今年2月和斯圖加特的高性能計算中心合并。

Leibniz超級計算中心上周四也通知用戶發(fā)生了影響高性能計算機運行的安全事件，使得該架構(gòu)與外部斷網(wǎng)隔離了。

同日，位于德國的Jülich Supercomputing Centre (JSC)也發(fā)布消息稱由于IT安全事件導(dǎo)致JURECA、JUDA、JUWELS超級計算機無法使用。

據(jù)SPIEGEL記者Patrick Beuth統(tǒng)計，截至上周末，德國至少有9個超級計算機受到了網(wǎng)絡(luò)攻擊的影響。

上周六，瑞士科學(xué)計算中心Swiss Center of Scientific Computations (CSCS)通知用戶稱由于在系統(tǒng)中檢測到惡意活動，許多高性能計算機、學(xué)術(shù)數(shù)據(jù)中心都暫時無法訪問。

加密貨幣挖礦

歐洲網(wǎng)格基礎(chǔ)設(shè)施(EGI，European Grid Infrastructure)在近日發(fā)布的一份公告中詳細介紹了兩起攻擊學(xué)術(shù)數(shù)據(jù)中心的網(wǎng)絡(luò)攻擊，并分析其來自同一攻擊者。

在這兩起攻擊活動中，攻擊者使用竊取的SSH憑證來濫用CPU資源來進行門羅幣挖礦。一些主機被用于挖礦，而另外一些主機則被用作連接到挖礦服務(wù)器的代理。

EGI的計算機安全響應(yīng)組(CSIRT)發(fā)現(xiàn)其中一起攻擊活動中，惡意挖礦活動還被配置為只在夜晚運行，主要是為了防止被檢測到。CSIRT發(fā)布的技術(shù)細節(jié)和IoC表明受害者分布于中國、美國和歐洲等國家和地區(qū)。

惡意軟件

CrowdStrike安全研究人員稱惡意軟件的一個組件有root權(quán)限，可以加載其他程序;另外一個組件用來移除log數(shù)據(jù)中的痕跡。研究人員稱這兩個組件都是ELF64二進制文件，加載器位于“/etc/fonts/.fonts”，日志清除器位于“/etc/fonts/.low”。

位于美國的網(wǎng)絡(luò)安全公司對這兩個惡意軟件組件進行了分析，發(fā)現(xiàn)惡意軟件已經(jīng)被德國、英國、瑞士和西班牙的用戶上傳到了VirusTotal。

此外，還有安全研究人員發(fā)布博文稱位于位于波蘭的超級計算機也受到了網(wǎng)絡(luò)攻擊。