超算变矿机? 是谁导演了全球“超算挖矿”风暴

据多家媒体报道，上周首次曝光的针对高机能较量实验室的冲击笼盖局限宽广，受害机构包罗加拿大、中国、美国和欧洲部门区域（包罗英国、德国和西班牙）的超算中心。平安专家透露，所有事件似乎都涉及冲击者使用从正当用户那边窃取的SSH凭证（SSH是一种加密收集和谈，即使在不平安的收集上也可供应平安的长途登录），个中包罗大学和机构的研究人员。

从今朝各方流露的超算挖矿查询信息来看，经济身分依然是收集犯罪的第一动力。役使全球超等较量机和高机能较量系统的幕后黑手，很或者就是近年来从事加密泉币“挖矿”的黑客，然则尚不清楚冲击者是否也有窃取数据或奸细运动的意图。

超等较量机和高机能集群为研究人员供应了壮大的较量能力，然则，任何可以将加密采矿恶意软件植入超算情况的冲击者都能够把超算酿成加密泉币“矿机”。（编者按：这些黑客很清楚超算适合挖掘的特定“币种”，例如门罗币和“收益率”）。

5月11日，由德国巴登-符腾堡州的研究人员和10所大学构成的bwHPC联盟申报说，它蒙受了“平安事件”，导致多个超等较量机和集群脱机。

统一天，因为“平安事件”，爱丁堡大学将英国国度高机能较量系统ARCHER下线，并指出雷同事件也影响了欧洲其他区域的研究机构（参考阅读：欧洲多国超等较量机被挖矿软件“团灭”）。

照片：英国的ARCHER（高级研究较量高端资源）国度超等较量机

ARCHER是全球顶尖的高机能较量情况之一，查询究竟显露，冲击者成功将两种恶意软件偷偷地带入了超算运行的Linux系统：一个是名为“fonts”的加密泉币挖矿恶意软件加载器，另一个是名为“low”的冲击日志清理文件，这两个文件均被放置在“/etc/fonts”Linux目录中。

在接下来的几天里，在德国、西班牙和瑞士露出出更多此类平安事件。据Bleeping Computer报道，某些高机能较量情况似乎最早在一月份就被黑客入侵了。

上周五，负责协调整个欧洲超等较量机研究的欧洲网格根蒂举措平安小组（EGI）透露，其成员检测到的冲击可追溯到两个互相关系的冲击运动。两次冲击运动都发生在相似的时间局限内，保持到统一台门罗币（monero）采矿办事器，并且冲击者有时经由波兰的统一台受传染办事器保持到方针系统（冲击者还使用了其他办事器）。

然则，只有第二波冲击运动涉及使用Linux恶意软件。

EGI成员申报的第一批冲击可追溯到一个恶意整体，该整体一段时间来持续冲击加拿大、美国以及中国和欧洲的HPC高机能较量实验室，并安装CPU挖矿软件。EGI在其平安警报中说：“冲击者平日使用Tor经由SSH保持到这些受害主机，而且使用泄露的SSH凭证从一个受害者（超算集群）跳到另一个受害者。”

EGI透露，至少有一次冲击中，“恶意XMR [monero]运动被设置为仅在夜间运行，以避免被检测到。”

在冲击的初始阶段，黑客在纽约州立大学石溪分校、加州大学洛杉矶分校、多伦多大学、德国弗莱堡大学、中国科学手艺收集（CSTNET）以及波兰的克拉科夫大学使用了受传染的系统。 

本轮“超算挖矿冲击”中发现的Linux恶意软件 图片起原：欧洲网格根蒂举措 CSIRT

EGI指出，在第二波冲击中，“一个恶意组织将方针对准各地的学术数据中心，念头未知。冲击者正在使用泄露的SSH凭证从一个冲击方针跳到另一个冲击方针。冲击者正在经由克拉科夫大学、中国上海交通大学和CSTNET的失陷系统登录方针系统。”（下图）

冲击者在方针系统的Linux字体目录中放置了两种恶意软件：.fonts实际上是一个SUID文件（用于设置用户接见权限），旨在许可冲击者以root特权执行其文件；而.low则是旨在消灭冲击者陈迹的日志清理文件。

一位Slashdot用户在上周三发布的新闻称：

CVE-2019-15666是5.0.19之前的Linux内核版本中的越界数组接见破绽;当前版本是5.0.21。

Slashdot的爆料帖子增补说：“就在如今，英国国度机构ARCHER仍然处于脱机状况，因为root账户被行使。”“冲击来自以下IP地址：202.120.32.231和159.226.161.107。”

凭据EGI的平安申报，上述两个IP地址来自上海交通大学和CSTN的两个已失陷用户账户。

平安研究员Tillmann Werner在Twitter指出此次冲击中德国损失最大，多家超算中心中招。Werner还发布了Yara恶意软件研究和检测的对象的划定，这些对象和划定也可用于检测此次超算冲击中的恶意软件。

此外，在德国莱布尼兹超等较量中心工作的物理学家罗伯特·海林使用NSA的免费逆向工程对象Ghidra对装载法式和清理法式进行反编译，并找到了冲击针对的特定文件类型的列表。

据伦敦的云较量机事件响应对象供给商Cado的结合创始人克里斯·多曼（Chris Doman）透露，德国、西班牙、瑞士和英国的用户已将加载法式和消灭法式文件的样本上载到防病毒扫描办事VirusTotal，这意味着上述所有这些国度中或者都有受害组织。

Doman透露：“清理法式非常精妙，能够从很多日志文件中删除冲击者的陈迹。”

固然FBI上周警告说，中国黑客一向在针对与COVID-19治疗相关的学术和制药行业，但Doman认为：在EGI具体描述的两次平安事件中，被损坏的系统上发现了加密泉币挖掘恶意软件，这意味着冲击更有或者是出于经济念头的犯罪，而不是奸细运动。

同时，受影响的高机能较量组仍在测验清理和还原其系统。截止本周一，英国的ARCHER依然连结脱机状况，因为治理员需要向所有效户从新发布新暗码和SSH密钥。

ARCHER治理员在上周五的办事更新中说：“当ARCHER恢复办事时，将要求所有效户使用两个凭证来接见该办事：带暗码的SSH密钥和他们的ARCHER暗码。禁止用户重用之前的暗码或SSH密钥”。

卡巴斯基全球研究与剖析团队主管Costin Raiu透露，冲击者或者与Watchbog（守望者小组）有关，该组织以前曾行使雷同Linux恶意软件动员加密币挖矿僵尸收集冲击。

思科Talos的平安研究人员Luke DuCharme和Paul Lee在一篇博客文章中指出Watchbog僵尸收集首要开采monero加密泉币，并且在检测到的一次Watchbog的冲击中，冲击者大量使用SSH失窃凭证。

思科Talos发现冲击者首先行使了开源主动化办事器Jenkins中的一个已知破绽CVE-2018-1000861，来长途接见方针组织并安装其Watchbog恶意软件。

一旦获得容身点，冲击者便使用bash剧本在受传染的收集上横向移动。他们的剧本可以“检索受传染系统上的known_hosts文件的内容”（指该系统的其他关系授信系统的列表）“然后测验经由SSH进入那些系统。”此外，他们的剧本“还搜检SSH密钥的存在，并行使它们来对known_hosts文件中的系统进行身份验证。”对于这种特定的冲击，若是测验成功，剧本将从Pastebin URL中检索内容以持续扩大传染面。

思科Talos指出，平安人员能够经由看管SSH流量的不测水平来检测此类冲击。

Talos建议：“竖立内部收集流量的基准，若是发生任何重大误差，则要进行检测识别和查询。”“上周的冲击中，Watchbog在超等较量集群的SSH流量中发生了显着的峰值。”

EGI全球学术数据中心被挖矿滥用平安公告：

https://csirt.egi.eu/academic-centers-abused-for-crypto-currency-mining/