Angriffe auf Hochleistungsrechner: Waren es Krypto-Miner?

Zahlreiche Hochleistungsrechenzentren sind nach Angriffen vom Netz. Hinweise deuten auf Krypto-Mining, doch für den Chef des LRZ greift das zu kurz.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 14 Beiträge

Das LRZ beherbergt auch den Supercomputer SuperMUC.

(Bild: Leibniz-Rechenzentrum)

Von

Nach den Attacken auf verschiedene Hochleistungsrechenzentren von Forschungsinstitutionen wird über die Hintergründe spekuliert. Während britische Medienberichte über einen möglichen Zusammenhang mit aktueller Forschung an Covid-19-Impfstoffen mutmaßen, berichtet das Security-Team der Stiftung European Grid Infrastructure (EGI) über Angriffe, welche die Forschungsinfrastruktur für das Mining von Kryptowährung missbrauchen. Dieter Kranzlmüller vom Leibniz Rechenzentrum der Bayerischen Akademie der Wissenschaften (LRZ) hält diese Erklärung allerdings für zu schlicht.

Am Donnerstag war bekannt geworden, dass in den vergangenen Tagen mehrere Hochleistungsrechenzentren unter Hinweis auf "Sicherheitsprobleme" ihre Zugänge deaktiviert hatten, darunter das Leibniz Supercomputing Center in Garching, der Hochleistungsrechner Hawk am Stuttgarter Höchstleistungsrechenzentrum (HLRS) und Jureca in Jülich. Am LRZ in Garching ermittelt inzwischen eine siebenköpfige Ermittlertruppe des Landeskriminalamtes. Nach Informationen von heise online ist das gesamte Netz der Partnership for Advanced Computing in Europe (PRACE) betroffen.

Das EGI Computer Security and Incident Response Team (EGI-CSIRT) berichtet von Angriffen, bei dem Server vordergründig für Mining missbraucht würden. So sei Software für das Mining der Kryptowährung Monero auf verschiedenen kompromittierten Rechnern gefunden worden. Zur Verwischung ihrer Spuren hätten die Angreifer unter anderem das Kernel-Rootkit Diamorphine eingesetzt und über das TOR-Netz zugegriffen.

Ausgangspunkt der Angriffe waren demnach Zugänge zu Universitätsrechnern in China, Kanada und Polen. Von dort haben sich die Angreifer über verschiedene Server des Wissenschaftsnetzes vorgearbeitet. Mit erbeuteten SSH-Logins seien diese dann für unterschiedliche Rollen konfiguriert worden: als XMR-Miner, Proxy Hosts, Socks Proxies oder SSH-Tunnel. Möglicherweise sind durch die dabei kompromittierten Schlüssel und Passwörter auch die aktuell angegriffenen Höchstleistungsrechner ins Visier von Angreifern gekommen.

Kranzlmüller hält es für möglich, dass die vom EGI-CSIRT beobachteten Angriffe durchaus mit dem Angriff auf die Supercomputing-Zentren in Zusammenhang stehen könnten. Das Durchhangeln quer durch die Wissenschaftsnetze könnte der Weg auf die Supercomputer gewesen sein, sagt der Leiter des LRZ im Gespräch mit heise online. Dass es nur um Cryptomining gehe, halte er für unwahrscheinlich.

Die Art des Angriffs deute auf Profis hin, denen es um mehr als Mining gehe. Zum aktuellen Zeitpunkt aber seien sowohl der genaue Modus Operandi als auch die Motive noch unklar. "Ich bekomme alle zwei Stunden einen neuen Hinweis von einem der betroffenen Zentren, mit denen wir bei der Aufarbeitung eng zusammenarbeiten", sagt Kranzlmüller. Insgesamt weiß er von einer zweistelligen Zahl von betroffenen Höchstleistungsrechenzentren.

Offenbar ist das gesamte PRACE-Netz betroffen. Dazu gehören insgesamt 26 High Computing Zentren in der Europäischen Union und darüber hinaus. Betroffen sind in Deutschland neben Stuttgart und Jülich, das gegenüber heise online mitteilte, dass man die Systeme insgesamt vom Netz genommen habe, mindestens ein halbes Dutzend weiterer Rechenzentren. Laut Kranzlmüller sind auch universitäre Rechenzentren betroffen.

Über einen möglichen Zusammenhang zwischen dem großangelegten Angriff und der aktuellen Forschung zum Corona-Virus sei auch im Kreis der Rechenzentren schon mal spekuliert worden, sagte Kranzlmüller. Dagegen spreche aber, dass sich erste Spuren der Angreifer wohl bis vor die Zeit der Coronakrise zurückverfolgen lassen. Auch die Modellsimulationen, die jetzt für die Ermittlung von Medikamenten- und Impfstoffkandidaten herangezogen werden, sind langfristige Projekte - "und schwer nutzbar für einen möglichen Angreifer", schätzt Kranzlmüller.

Die laufenden forensischen Arbeiten in Garching und anderswo bremsen nun die Wissenschaft aus. "Das ist es, was mich als Wissenschaftler schmerzt", sagte Kranzlmüller. In Garching versuche man allerdings, langlaufende Jobs weiterhin abarbeiten zu lassen. Nur der Zugang von außen, also auch das Abholen von Ergebnissen der laufenden Simulation, sei derzeit nicht möglich. (vbr)