歐洲超級電腦被植入挖礦程式，數國研究機構遭殃

上周歐洲包括英國、瑞士、德國、西班牙等國家，先後傳出超級電腦被植入挖礦程式病毒，而暫停營運或對外連線。

首先是英國超級電腦服務ARCHER於5月11日公告， ARCHER因登入節點的安全入侵事故而關閉，由負責管理的愛丁堡平行計算中心及硬體商HP/Cray進行調查。ARCHER並在5月13日要求用戶，重設所有ARCHER密碼及SSH金鑰。

同一天德國貝登符騰堡邦也宣布全邦高效能運算系統（HPC）發生IT安全事件，導致5所大學的超級電腦無法使用。德國巴伐利亞科學院下的萊布尼茲運算中心周四公告，因安全事件波及超級電腦，為防進一步感染，當局已切斷3臺超級電腦和外界的連線。

無獨有偶，周六瑞士科學計算中心（CSCS）也公告，偵測到和前述事件相關的攻擊，也採取切斷外部連線的處置並通知受影響的單位。目前僅CSCS的天氣預測系統MetoSwiss未受影響。

此外，西班牙巴塞隆納的超級電腦，及慕尼黑大學物理學院高速運算叢集，上周也先後被安全研究人員揭露，發生惡意程式攻擊而關閉的消息。

所有受害的研究機構皆未再公布調查結果，但歐洲網格基礎架構（EGI）電腦安全事件回應小組（CSIRT），則公布兩起波及多國超級電腦的網路攻擊事件。攻擊者利用外洩的SSH帳密由一家研究機構跳到另一家，操控受駭超級電腦執行Monero幣（XMR）的採礦，或當成代理伺服器或Tunnel連線主機，用以迂迴連到真正的挖礦主機，或是以SSH連線登入其他超級電腦。

美國安全廠商Cado Security則指出，兩起事件的樣本分別為Loader和Cleaner，前者用以執行攻擊者的指令，後者則還能移除log檔以刪除攻擊證據。至少在英國一案中，攻擊者是開採了超級電腦CVE-2019-15666漏洞，而取得權限升級。

EGI分析，駭客竊取了波蘭與加拿大當地大學、中國上海交通大學以及中國科學技術網（CSTNet）最初的SSH帳密，由此登入超級電腦叢集向其他機構發動攻擊。

這不是第一次超級電腦被用來挖礦。ZDNet報導，俄羅斯核子中心及澳洲氣象局的超級電腦，在2018年都發生被用來挖礦的資安事件，但是內部員工所為。近期歐洲地區多臺超級電腦被植入挖礦程式事件，卻是由駭客所犯下。