先週ハッキングされた英国のスーパーコンピューターは、世界中で仮想通貨の採掘を狙う一大コンピューター群の一つだったことが明らかになった。
欧州グリッドインフラストラクチャ(EGI)チームは今週、スコットランドのエディンバラ大学のARCHERクラスターで乗っ取られたユーザーアカウントに加えて、中国、ヨーロッパ、北米のスーパーコンピューターも、見つけられる限りのコンピューティングリソースを使ってMoneroコインを作成しようとする悪意のある人物によって侵入されたと報告した。
EGIはまた、高性能システムへの攻撃が2波あったと指摘し、1つはコインマイニング用、もう1つはまだ不明な目的のためであり、個別の侵入は「相関関係にあるかもしれないし、ないかもしれない」と述べた。
スーパーコンピューティング機関の事件概要によれば、ハッカーは盗んだSSH認証情報を使ってスーパーコンピューターにアクセスし、ノードにさまざまな役割を割り当てた。一部のノードは暗号通貨をマイニングし、他のノードはマイニングプロキシとして、またTorおよびSSHトンネリングホストとして機能した。
ログイン情報は、SSH 実行ファイルを、資格情報を盗み出すバックドア プログラムに置き換えることで盗まれた可能性があります。
EGIセキュリティチームはアドバイザリの中で、「攻撃者は悪意のあるLinuxカーネルモジュールなど、様々な手法を用いて悪意のある活動を隠蔽しています」と述べています。「SSH認証情報がどのように盗まれるのかは完全には解明されていませんが、一部の被害者(全員ではありません)は侵害されたSSHバイナリを発見しています。」
「少なくとも 1 つのケースでは、悪意のある XMR アクティビティは、検出を回避するために夜間のみ実行されるように設定 (CRON) されています。」
大学のスーパーコンピューターでビットコインを採掘したとして、エッグヘッドが厳しく叱責される
続きを読む
一方、Cado Security の担当者は、システムにインストールされた暗号通貨マイニングマルウェアを詳しく調査し、興味深い点に気付きました。悪意のあるコードの多くは、感染したマシン上でコンパイルされたようです。これは、汎用の x86-64 バイナリが展開されず、代わりに感染したスーパーマシンごとに構築され、おそらく最適化されたバイナリが使用されたことから、攻撃者がやや洗練されたことを示唆しています。
「通常、サーバーに対するクリプトジャッキング攻撃を調査すると、複数の被害者から同じマルウェアがアップロードされているのが見つかる」と研究チームは指摘する。2つの別々のスーパーコンピューター侵入を結びつける証拠が山積みになっていることから、Cadoのエキスパートたちは、これらはすべて同一の攻撃だったと確信している。
犯人たちは、ポーランドのクラクフ大学、中国の上海交通大学、そして中国科学技術ネットワークの侵入されたネットワークからマシンにログインしていたと伝えられています。科学者たちが科学研究を進めるために、互いにスーパーコンピューターへのアクセスを許可し合っているという事実は、犯人がスーパーコンピューターとネットワークの間を非常に容易に移動できた理由を説明する一助となります。
さらに、ドイツのフライブルク大学、カナダのトロント大学、米国のカリフォルニア大学ロサンゼルス校、米国のニューヨーク州ストーニーブルック大学のコンピューターも侵入され、この作戦に巻き込まれた疑いがある。
スーパーコンピューターの怪物がデジタル通貨を生成するために乗っ取られたのはこれが初めてではない。
2014年にはハーバード大学の学生が大学内の14,000コアのクラスターを使ってドージコインをマイニングしていたところを捕まり、2018年にはロシアの科学者2名が、国の核兵器施設のスーパーコンピューターでアルトコインを作成したとして逮捕された。®
