Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

複数のスーパーコンピュータがハッキング被害

海外事件 不正アクセス事件 調べてみた。

ヨーロッパの複数のスーパーコンピューターが暗号通貨マイニングマルウェア感染被害を受けたと報じられています。

www.zdnet.com

 

今週、ヨーロッパ中の複数のスーパーコンピューター暗号通貨マイニングマルウェアに感染し、侵入を調査するためにシャットダウンしました。

イギリス、ドイツ、スイスでセキュリティインシデントが報告されていますが、同様の侵入がスペインにある高性能コンピューティングセンターでも発生したと噂されています。

攻撃の最初の報告は、ARCHERスーパーコンピューターを実行するエジンバラ大学から月曜日に明らかになりました。組織は「ARCHERログインノードでのセキュリティの悪用」を報告し、ARCHERシステムをシャットダウンして調査し、SSHパスワードをリセットしてさらなる侵入を防ぎます。

ZDNet記事より引用)※機械翻訳

 

キタきつねの所感

攻撃の最初の報告は、ARCHERスーパーコンピュータを利用する英国エジンバラ大学からでした。ログインノートのセキュリティ悪用を発見し、ARCHERシステムを再起動し、SSHパスワードをリセットしています。

 

同様にドイツのスーパーコンピューターセキュリティインシデントによって、コンピュータのシャットダウンをする必要があると5/11に発表しています。

※5/18記事作成辞時点で「利用不可」の状況

www.bwhpc.de

 

この影響により以下の4システムも利用停止状態となっています。

シュトゥットガルト大学のハイパフォーマンス・コンピューティング・センターシュトゥットガルト(HLRS)
カールスルーエ工科大学(KIT)のbwUniCluster 2.0およびForHLR IIクラスタ
・ウルム大学のbwForCluster JUSTUS化学および量子科学スーパーコンピュータ
テュービンゲン大学のbwForCluster BinACバイオインフォマティクススーパーコンピューター

 

これ以外にもバイエルン科学アカデミーのライプニッツコンピューティングセンター(LRZ)が利用不可、ドイツのジュリッヒ研究センターは、JURECA、JUDAC、JUWELSスーパーコンピューターをシャットダウンしたと発表と、欧州の複数のスーパーコンピューターが被害を受けた様です。

 

マルウェアのサンプルは、米国を本拠とするサイバーセキュリティ企業であるCado Securityによって本日以前にレビューされました。同社によると、攻撃者は、SSH認証情報の漏洩を介して、スーパーコンピュータークラスターにアクセスしたようです。

資格情報は、コンピューティングジョブを実行するためにスーパーコンピューターにアクセスできる大学のメンバーから盗まれたようです。ハイジャックされたSSHログインは、カナダ、中国、ポーランドの大学に属していました。

ZDNet記事より引用)※機械翻訳

 

問題なのは、SSH”のログイン認証が突破されている事でしょうか。認証情報が不正窃取されてしまえば、研究機関同士の「準閉域網」も突破できてしまうという事を改めて突き付けられたとも言えます。

 

余談ですが、日本のスーパーコンピューター利用でも同様なSSHによるログイン接続を実施している所が多いのではないかと思いますが、だとすると同様な攻撃手法は潜在的な脆弱点として存在するという事を示唆しています。

 

参考:

www.cc.u-tokyo.ac.jp

 

先に結論を書いてしまうのなら、SSH認証だけでは不十分であり、外部からのアクセスに対しては多要素認証を導入するしかないのではないでしょうか。

 

 

窃取したSSH認証情報を用いて、攻撃者がスーパーコンピューターに侵害した後の攻撃手法について、ZDNet記事では以下の様に説明しています。

Domanの分析によると、攻撃者がスーパーコンピューティングノードにアクセスすると、CVE-2019-15666の脆弱性を悪用してルートアクセスを取得し、Monero(XMR)暗号通貨をマイニングするアプリケーションを展開したようです。

ZDNet記事より引用)※機械翻訳

 

JVNDB-2019-008574 - JVN iPedia - 脆弱性対策情報データベース

NVD - CVE-2019-15666

 

脆弱性DBを見ると、リスク懸念としてはDDoS攻撃が挙げられています。ここからどうやってルートアクセス取得までたどり着くのかは分かりませんが、1つ言えそうなのが、2019年9月の脆弱性なので、パッチが当たっていれば攻撃を受けずにすんだ可能性があるという事です。

 

攻撃により、仕掛けられたのは「暗号通貨マイニングマルウェアスパコンの計算能力を使った攻撃の狙いとしては、効率よくMonero仮想通貨を掘り起こすという意図がよく分かります。

しかし、大掛かりに一斉に欧州のスーパーコンピュータを襲った割に、どの程度成果(リターン)があったのかと考えると、比較的早く研究機関(防衛)側に気づかれていますので、暗号通貨マイニングとは別な意図があった可能性があります。

 

では何が狙いだったのか?と考えると、下記の記事と攻撃のタイミングが非常に近いので、何か関連しているのかなと(根拠はありませんが)想像します。

www.nikkei.com

 

因みにZDnet記事には、COVID-19の研究に影響・・・という事が書かれていました。

さらに悪いことに、今週スーパーコンピューターを停止させた組織の多くは、先週、侵入とそれに続くダウンタイムの結果として妨害されている可能性が高いCOVID-19の発生に関する研究を優先することを先週発表しました。

ZDNet記事より引用)※機械翻訳

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

スーパーコンピューターのイラスト

 

更新履歴

  • 2020年5月18日 AM(予約投稿)