超算变矿机? 是谁导演了全球“超算挖矿”风暴

上周，一连串超级计算挖矿攻击席卷了全球各大超算中心，多个超算中心受到影响甚至停机。...



点击蓝字关注我们

“超算矿机”已经挖矿近半年

据多家媒体报道，上周首次曝光的针对高性能计算实验室的攻击覆盖范围宽广，受害机构包括加拿大、中国、美国和欧洲部分地区（包括英国、德国和西班牙）的超算中心。安全专家表示，所有事件似乎都涉及攻击者使用从合法用户那里窃取的SSH凭据（SSH是一种加密网络协议，即使在不安全的网络上也可提供安全的远程登录），其中包括大学和机构的研究人员。

从目前各方披露的超算挖矿调查信息来看，经济因素依然是网络犯罪的第一动力。役使全球超级计算机和高性能计算系统的幕后黑手，很可能就是近年来从事加密货币“挖矿”的黑客，但是尚不清楚攻击者是否也有窃取数据或间谍活动的意图。

超级计算机和高性能集群为研究人员提供了强大的计算能力，但是，任何能够将加密采矿恶意软件植入超算环境的攻击者都可以把超算变成加密货币“矿机”。（编者按：这些黑客很清楚超算适合挖掘的特定“币种”，例如门罗币和“收益率”）。

5月11日，由德国巴登-符腾堡州的研究人员和10所大学组成的bwHPC联盟报告说，它遭受了“安全事件”，导致多个超级计算机和集群脱机。

同一天，由于“安全事件”，爱丁堡大学将英国国家高性能计算系统ARCHER下线，并指出类似事件也影响了欧洲其他地区的研究机构（参考阅读：欧洲多国超级计算机被挖矿软件“团灭”）。

ARCHER是全球顶尖的高性能计算环境之一，调查结果显示，攻击者成功将两种恶意软件偷偷地带入了超算运行的Linux系统：一个是名为“fonts”的加密货币挖矿恶意软件加载器，另一个是名为“low”的攻击日志清理文件，这两个文件均被放置在“/etc/fonts”Linux目录中。

在接下来的几天里，在德国、西班牙和瑞士暴露出更多此类安全事件。据Bleeping Computer报道，某些高性能计算环境似乎最早在一月份就被黑客入侵了。

两次攻击行动之间的关联

上周五，负责协调整个欧洲超级计算机研究的欧洲网格基础设施安全小组（EGI）表示，其成员检测到的攻击可追溯到两个相互关联的攻击活动。两次攻击活动都发生在相似的时间范围内，连接到同一台门罗币（monero）采矿服务器，而且攻击者有时通过波兰的同一台受感染服务器连接到目标系统（攻击者还使用了其他服务器）。

但是，只有第二波攻击活动涉及使用Linux恶意软件。

EGI成员报告的第一批攻击可追溯到一个恶意团体，该团体一段时间来持续攻击加拿大、美国以及中国和欧洲的HPC高性能计算实验室，并安装CPU挖矿软件。EGI在其安全警报中说：“攻击者通常使用Tor通过SSH连接到这些受害主机，并且使用泄露的SSH凭据从一个受害者（超算集群）跳到另一个受害者。”

EGI表示，至少有一次攻击中，“恶意XMR [monero]活动被配置为仅在夜间运行，以避免被检测到。”

在攻击的初始阶段，黑客在纽约州立大学石溪分校、加州大学洛杉矶分校、多伦多大学、德国弗莱堡大学、中国科学技术网络（CSTNET）以及波兰的克拉科夫大学使用了受感染的系统。

Linux恶意软件

EGI指出，在第二波攻击中，“一个恶意组织将目标瞄准各地的学术数据中心，动机未知。攻击者正在使用泄露的SSH凭据从一个攻击目标跳到另一个攻击目标。攻击者正在通过克拉科夫大学、中国上海交通大学和CSTNET的失陷系统登录目标系统。”（下图）攻击者在目标系统的Linux字体目录中放置了两种恶意软件：.fonts实际上是一个SUID文件（用于设置用户访问权限），旨在允许攻击者以root特权执行其文件；而.low则是旨在清除攻击者痕迹的日志清理文件。

一位Slashdot用户在上周三发布的消息称：CVE-2019-15666是5.0.19之前的Linux内核版本中的越界数组访问漏洞;当前版本是5.0.21。

Slashdot的爆料帖子补充说：“就在现在，英国国家机构ARCHER仍然处于脱机状态，因为root账户被利用。”“攻击来自以下IP地址：202.120.32.231和159.226.161.107。”

根据EGI的安全报告，上述两个IP地址来自上海交通大学和CSTN的两个已失陷用户账户。

安全研究员Tillmann Werner在Twitter指出此次攻击中德国损失最大，多家超算中心中招。Werner还发布了Yara恶意软件研究和检测的工具的规则，这些工具和规则也可用于检测这次超算攻击中的恶意软件。

此外，在德国莱布尼兹超级计算中心工作的物理学家罗伯特·海林使用NSA的免费逆向工程工具Ghidra对装载程序和清理程序进行反编译，并找到了攻击针对的特定文件类型的列表。据伦敦的云计算机事件响应工具供应商Cado的联合创始人克里斯·多曼（Chris Doman）透露，德国、西班牙、瑞士和英国的用户已将加载程序和清除程序文件的样本上载到防病毒扫描服务VirusTotal，这意味着上述所有这些国家中可能都有受害组织。

Doman表示：“清理程序非常精妙，可以从许多日志文件中删除攻击者的痕迹。”

主要动机：加密货币

虽然FBI上周警告说，中国黑客一直在针对与COVID-19治疗相关的学术和制药行业，但Doman认为：在EGI详细描述的两次安全事件中，被破坏的系统上发现了加密货币挖掘恶意软件，这意味着攻击更有可能是出于经济动机的犯罪，而不是间谍活动。

同时，受影响的高性能计算组仍在尝试清理和还原其系统。截至本周一，英国的ARCHER依然保持脱机状态，因为管理员需要向所有用户重新发布新密码和SSH密钥。

ARCHER管理员在上周五的服务更新中说：“当ARCHER恢复服务时，将要求所有用户使用两个凭据来访问该服务：带密码的SSH密钥和他们的ARCHER密码。禁止用户重用之前的密码或SSH密钥”。

潜在罪魁祸首：守望者小组

卡巴斯基全球研究与分析团队主管Costin Raiu表示，攻击者可能与Watchbog（守望者小组）有关，该组织以前曾利用类似Linux恶意软件发动加密币挖矿僵尸网络攻击。

思科Talos的安全研究人员Luke DuCharme和Paul Lee在一篇博客文章中指出Watchbog僵尸网络主要开采monero加密货币，而且在检测到的一次Watchbog的攻击中，攻击者大量使用SSH失窃凭据。

思科Talos发现攻击者首先利用了开源自动化服务器Jenkins中的一个已知漏洞CVE-2018-1000861，来远程访问目标组织并安装其Watchbog恶意软件。

一旦获得立足点，攻击者便使用bash脚本在受感染的网络上横向移动。他们的脚本能够“检索受感染系统上的known_hosts文件的内容”（指该系统的其他关联授信系统的列表）“然后尝试通过SSH进入那些系统。”另外，他们的脚本“还检查SSH密钥的存在，并利用它们来对known_hosts文件中的系统进行身份验证。”对于这种特定的攻击，如果尝试成功，脚本将从Pastebin URL中检索内容以继续扩大感染面。

思科Talos指出，安全人员可以通过监视SSH流量的意外水平来检测此类攻击。

Talos建议：“建立内部网络流量的基准，如果发生任何重大偏差，则要进行检测识别和调查。”“上周的攻击中，Watchbog在超级计算集群的SSH流量中产生了明显的峰值。”

参考资料

EGI全球学术数据中心被挖矿滥用安全通告：

https://csirt.egi.eu/academic-data-centers-abused-for-crypto-currency-mining/



合作电话：18311333376
合作微信：aqniu001
投稿邮箱：editor@aqniu.com

    关注 安全牛