Af Eskil Sørensen, 18/05/20
Vi skrev i sidste uge, at den britiske supercomputer ARCHER har været kompromitteret. Spekulationerne gik på, om angrebene skyldes forsøg på få adgang til vaccineinformation eller hindre dataprocessering vedr. smittespredning af Coronavirus.
Nu viser det sig, at årsagen til angrebet på ARCHER har været et forsøg på at anvende supercomputeren til at danne kryptovaluta. Et angreb, der også har påvirket supercomputere i andre europæiske lande som fx Tyskland, Schweiz og Spanien. Det har fået universiteterne, der har ansvaret for computerne, til at lukke ned for at undersøge sagen.
SSH-logins stjålet
EGI CSIRT, som er Computer Security and incident responsteam for EGI, har udsendt et resume af hændelsen. EGI står for European Grid Infrastructure og er en europæisk sammenslutning af aktører, der driver high performance computere (HPC). Resumeet indeholder beskrivelse af de indikatorer, der kan tyde på forsøg på kompromittering.
Ifølge EGI CSIRT skulle loginoplysninger været stjålet fra medlemmerne af universiteterne, hvorved angribere har kunnet køre forskellige jobs på computerne. De pågældende jobs har så været forsøg på at etablere cryptomining. "Kryptominedrift" er traditionelt er meget strømkrævende, hvorfor adgang til en supercomputers regnekraft er en genvej til hurtige kryptopenge.
Advarsel fra DKCERT
Hændelsen har fået DKCERT til at udsende en advarsel til operatører af HPC-anlæg i Danmark med følgende anbefalinger:
- Spær af for ip-numre som indeholdes i EGI CSIRT-analysen
- Overvej om der kan sættes en begrænsning for, hvilke ip-adresser som må tilgå SSH-adgangen (spærring i router eller IP-tables).
- Overvej om der kan iværksættes en tvungen password-fornyelse for de konti, som har SSH-adgang, såfremt man ikke bruger certifikatbaseret autentificering.
- Undersøg anlægget for forekomsten af filer nævnet i EGI CSIRT-analysen. Vurder ud fra dette om en kompromittering har fundet sted.
- Sørg for at al software hele tiden er opdateret med de seneste sikkerhedsopdateringer
Ifølge EGI CSIRT har en et sikkerhedsfirma oplyst til ZDnet, at der ikke er officielt bevis for at indbruddene er udført at den samme gruppe, men noget tyder på det, bl.a. med anvendelse af malware-filer med de samme navne og sammenfaldende indikatorer fra netværksobservationer.
Links:
https://csirt.egi.eu/academic-data-centers-abused-for-crypto-currency-mining/
https://www.cert.dk/da/2020-14-05/Britiske-supercomputer-ARCHER-kompromitteret
https://www.zdnet.com/article/supercomputers-hacked-across-europe-to-mine-cryptocurrency/