研究人員發(fā)現(xiàn)上周歐洲多個用于科研項目的高性能計算機(HPC)和數(shù)據(jù)中心由于發(fā)生網(wǎng)絡安全事件被迫關閉。位于德國、英國和瑞士的數(shù)十個超級計算機受到影響，科研項目被迫暫停。其中有的計算機早在今年1月就被黑了。

超級計算機是構建在傳統(tǒng)硬件上的非常強大的系統(tǒng)，用來執(zhí)行高度計算。主要用于科學計算和測試復雜的物理現(xiàn)象和設計的數(shù)學模型。

德國服務器集群被黑

上周一，因受到網(wǎng)絡攻擊，德國和英國的超級計算機被迫關閉。5月11日，由于登陸節(jié)點的安全漏洞利用導致英國國家超算服務ARCHER暫停服務。官方發(fā)布消息稱，已提交的任務仍將正常運行，但無法登陸或提交新的任務。此外，口令和SSH key將被重置。服務重啟開始后，用戶登陸時需要2個憑證：含有passphrase(密碼)的SSH key和新的ARCHER口令。

位于德國的Baden-Württemberg High Performance Computing (bwHPC)項目同日也稱遭遇了網(wǎng)絡安全事件，使得5個服務器集群無法使用，恢復事件待定，包括：

• 卡爾斯魯厄理工學院的bwUniCluster 2.0
• 卡爾斯魯厄理工學院的ForHLR II
• 用于化學應用的bwForCluster JUSTUS
• 位于University of Tübingen的bwForCluster BinAC，用于生物信息學和航天項目
• Hawk，今年2月和斯圖加特的高性能計算中心合并。

Leibniz超級計算中心上周四也通知用戶發(fā)生了影響高性能計算機運行的安全事件，使得該架構與外部斷網(wǎng)隔離了。

同日，位于德國的Jülich Supercomputing Centre (JSC)也發(fā)布消息稱由于IT安全事件導致JURECA、JUDA、JUWELS超級計算機無法使用。

據(jù)SPIEGEL記者Patrick Beuth統(tǒng)計，截至上周末，德國至少有9個超級計算機受到了網(wǎng)絡攻擊的影響。

上周六，瑞士科學計算中心Swiss Center of Scientific Computations (CSCS)通知用戶稱由于在系統(tǒng)中檢測到惡意活動，許多高性能計算機、學術數(shù)據(jù)中心都暫時無法訪問。

加密貨幣挖礦

歐洲網(wǎng)格基礎設施(EGI，European Grid Infrastructure)在近日發(fā)布的一份公告中詳細介紹了兩起攻擊學術數(shù)據(jù)中心的網(wǎng)絡攻擊，并分析其來自同一攻擊者。

在這兩起攻擊活動中，攻擊者使用竊取的SSH憑證來濫用CPU資源來進行門羅幣挖礦。一些主機被用于挖礦，而另外一些主機則被用作連接到挖礦服務器的代理。

EGI的計算機安全響應組(CSIRT)發(fā)現(xiàn)其中一起攻擊活動中，惡意挖礦活動還被配置為只在夜晚運行，主要是為了防止被檢測到。CSIRT發(fā)布的技術細節(jié)和IoC表明受害者分布于中國、美國和歐洲等國家和地區(qū)。

惡意軟件

CrowdStrike安全研究人員稱惡意軟件的一個組件有root權限，可以加載其他程序;另外一個組件用來移除log數(shù)據(jù)中的痕跡。研究人員稱這兩個組件都是ELF64二進制文件，加載器位于“/etc/fonts/.fonts”，日志清除器位于“/etc/fonts/.low”。

位于美國的網(wǎng)絡安全公司對這兩個惡意軟件組件進行了分析，發(fā)現(xiàn)惡意軟件已經(jīng)被德國、英國、瑞士和西班牙的用戶上傳到了VirusTotal。

此外，還有安全研究人員發(fā)布博文稱位于位于波蘭的超級計算機也受到了網(wǎng)絡攻擊。