歐洲超級電腦被植入挖礦程式，數國研究機構遭殃

上周歐洲包括英國、瑞士、德國、西班牙等國家，先後傳出超級電腦被植入挖礦程式病毒，而暫停營運或對外連線。

首先是英國超級電腦服務ARCHER於5月11日公告， ARCHER因登入節點的安全入侵事故而關閉，由負責管理的愛丁堡平行計算中心及硬體商HP/Cray進行調查。ARCHER並在5月13日要求用戶，重設所有ARCHER密碼及SSH金鑰。

同一天德國貝登符騰堡邦也宣布全邦高效能運算系統（HPC）發生IT安全事件，導致5所大學的超級電腦無法使用。德國巴伐利亞科學院下的萊布尼茲運算中心周四公告，因安全事件波及超級電腦，為防進一步感染，當局已切斷3臺超級電腦和外界的連線。

無獨有偶，周六瑞士科學計算中心（CSCS）也公告，偵測到和前述事件相關的攻擊，也採取切斷外部連線的處置並通知受影響的單位。目前僅CSCS的天氣預測系統MetoSwiss未受影響。

此外，西班牙巴塞隆納的超級電腦，及慕尼黑大學物理學院高速運算叢集，上周也先後被安全研究人員揭露，發生惡意程式攻擊而關閉的消息。

所有受害的研究機構皆未再公布調查結果，但歐洲網格基礎架構（EGI）電腦安全事件回應小組（CSIRT），則公布兩起波及多國超級電腦的網路攻擊事件。攻擊者利用外洩的SSH帳密由一家研究機構跳到另一家，操控受駭超級電腦執行Monero幣（XMR）的採礦，或當成代理伺服器或Tunnel連線主機，用以迂迴連到真正的挖礦主機，或是以SSH連線登入其他超級電腦。

美國安全廠商Cado Security則指出，兩起事件的樣本分別為Loader和Cleaner，前者用以執行攻擊者的指令，後者則還能移除log檔以刪除攻擊證據。至少在英國一案中，攻擊者是開採了超級電腦CVE-2019-15666漏洞，而取得權限升級。

EGI分析，駭客竊取了波蘭與加拿大當地大學、中國上海交通大學以及中國科學技術網（CSTNet）最初的SSH帳密，由此登入超級電腦叢集向其他機構發動攻擊。

這不是第一次超級電腦被用來挖礦。ZDNet報導，俄羅斯核子中心及澳洲氣象局的超級電腦，在2018年都發生被用來挖礦的資安事件，但是內部員工所為。近期歐洲地區多臺超級電腦被植入挖礦程式事件，卻是由駭客所犯下。

歐洲多國超級電腦遭駭！從研究疫情淪為駭客挖礦機

上週英國、瑞士、德國、西班牙等國接連傳出超級電腦遭駭客植入挖礦程式，用來挖掘虛擬貨幣門羅幣（Monero），不得不暫停運作。其中部分電腦原本是用來協助研究製作武漢肺炎疫苗，現在卻慘淪為駭客的挖礦工具。

英國愛丁堡大學表示，所屬超級電腦ARCHER因遭到入侵而關閉，由負責管理的愛丁堡平行計算中心及硬體商HP／Cray進行調查。

德國貝登符騰堡邦也宣布全邦高效能運算系統（HPC）發生資安事件，導致5所大學的超級電腦無法使用；巴伐利亞科學院所屬的萊布尼茲運算中心也因為旗下超級電腦遭駭，不得不切斷3台超級電腦的對外連線，以防感染擴大；慕尼黑大學物理學院的超級電腦也因為遭到惡意程式攻擊而暫時關閉。

瑞士科學計算中心也偵測到類似的攻擊，因此切斷外部連線；西班牙巴塞隆納的超級電腦也同樣為此關閉。

美國資安公司Cado Security指出，駭客可能是先竊取用來遠距登入系統的SSH（Secure Shell，安全外殼協定）憑證，獲得超級電腦的使用權限後，再透過系統漏洞植入挖礦軟體。

SSH是一種網路加密傳輸協定，可以在不安全的網路中（例如遠距傳輸）為網路提供安全的傳輸環境，這些SSH憑證的來源疑似是其他大學的職員。

專家進一步分析被植入超級電腦內的挖礦軟體，認為從檔名、網路連接狀態指示器等線索來看，可能是出自同一個組織的駭客攻擊。