Sicherheitsprobleme in den Rechenzentren Europas: Phishing nach Corona-Forschungsdaten oder nur illegales Mining?
Nach einem Bericht von Computerbase.de haben mehrere europäische Rechenzentren in der vergangenen Woche Sicherheitsprobleme gemeldet und ihre Supercomputer heruntergefahren. Insgesamt sind 26 Rechenzentren in ganz Europa betroffen und zum Teil weiterhin nicht erreichbar. (Stand: 21.05.2020)
Darunter befindet sich der neue Supercomputer des Hochleistungsrechenzentrums Stuttgart (HPE Apollo 900 – Hawk). „Hawk“ ist momentan der schnellste Supercomputer Deutschlands und rechnet mit circa 26 PetaFLOPS. (PetaFLOP = 1015 FLOPS)
FLOPS – „Floating Point Operations Per Second“ ist ein Maß für die Ermittlung der Leistungsfähigkeit von Computern oder Prozessoren. Ein FLOP beschreibt die Anzahl der Gleitkommaoperation, die pro Sekunde gerechnet werden können. Zum Vergleich: Eine aktuelle High-End Grafikkarte, wie die Nvidia Geforce RTX 2080 Ti, erreicht circa 13,45 TeraFlops (TeraFLOP = 1012) pro Sekunde.
Das Leibniz-Rechenzentrum (LRZ) der Bayrischen Akademie der Wissenschaften in Garching bei München ist ebenfalls betroffen und hat den Zugriff auf seine Instanzen zeitweise geschlossen, sowie seine Supercomputer vorübergehend heruntergefahren.
Wir können einen Sicherheitsvorfall bestätigen, von dem unsere Hochleistungsrechner betroffen sind.
Sicherheitshalber haben wir deshalb die betroffenen Maschinen von der Außenwelt abgeschottet. Die Benutzer und die zuständigen Behörden sind informiert. Wir halten Sie über weitere Details auf dem Laufenden, bitten jedoch um Verständnis, dass wir keine Aussagen machen, so lange wir die Lage noch untersuchen.
Leibniz-Rechenzentrum der Bayrischen Akademie der Wissenschaften
Außerdem sind nicht nur deutsche Rechenzentren betroffen, sondern auch weitere Rechenzentren in Europa. So hat das Hochleistungszentrum ARCHER im schottischen Edinburgh den Zugriff über die Login Server ebenfalls eingeschränkt. Nach Angaben des britischen Rechenzentrums wurde das Cybersecurity Center des britischen Geheimdienstes GCHQ (Government Communications Headquarters) eingeschaltet.
Due to a security exploitation on the ARCHER login nodes, the decision has been taken to disable access to ARCHER while further investigations take place. Jobs that are currently running or queued will continue to run, but you will be unable to log in or to submit new jobs.
We now believe this to be a major issue across the academic community as several computers have been compromised in the UK and elsewhere in Europe.
We have been working with the National Cyber Security Centre (NCSC) and Cray/HPE in order to better understand the position and plan effective remedies.
Archer
Ein möglicher Hintergrund der Angriffe ist der Zugriff auf Forschungsergebnisse im Kampf gegen das Coronavirus. Bekannt ist bisher, dass die Angriffe über gestohlene Nutzer-Accountdaten erfolgten.
Im Februar 2020 berichteten die Stuttgarter Nachrichten, dass „Hawk“ in Zukunft, von Menschen beeinflusste Entwicklungen, berechnen soll. Dazu gehört die Berechnung von Pandemien und Flüchtlingsströmen. Allerdings ist menschliches Verhalten schwer vorhersehbar und damit besonders anspruchsvoll zu berechnen. Daher sollen zuverlässige Aussagen erst in drei bis fünf Jahren verfügbar sein.
Mittlerweile berichtete das Computer Security and Incident Response Team (CSIRT) der europäischen Stiftung European Grid Infrastructure (EGI), dass auf einigen kompromittierten Servern Mining-Software gefunden wurde. Die Software schürfte mit einer dezentralen Blockchain die Kryptowährung Monero.
Mit dem TOR-Netzwerk und dem Kernel-Rootkit „Diamorphine“ haben die Angreifer versucht, ihre Spuren zu verwischen.
Zuletzt teilte Heise.de mit, dass das Landeskriminalamt am LRZ in Garching bei München eine siebenköpfige Ermittlergruppe eingeschaltet hat. Momentan ist unklar, ob die Angriffe in einem direkten Zusammenhang stehen.