Misbruik supercomputer niet eenvoudig te ontdekken

May 25, 2020

Vorige week werd bekend dat een aanzienlijk aantal supercomputers in Europa zijn misbruikt om cryptocurrency te 'minen'. Voor zover bekend vielen er geen Nederlandse supercomputers ten prooi aan de criminelen. Of misbruik valt te herkennen, hangt af van de manier waarop de criminelen te werk gaan. 

De criminelen die begin deze maand gedurende ruim een week een tiental Europese supercomputers binnendrongen, deden dat met de inloggegevens van werknemers van verschillende instituten in onder meer Canada, China en Polen. AG Connect vroeg Peter Michielse, CTO van SURFsara, of onze nationale supercomputer - die bij SURFsara staat - ook slachtoffer had kunnen zijn. Zoals bij vele grote systemen kan iedereen met valide inloggegevens ook jobs draaien op de Nationale supercomputer.

Michielse: "Gebruikers hebben bij ons command line toegang tot een aantal login nodes. Er wordt geen gebruik gemaakt van een webinterface. Gebruikers kunnen optioneel gebruik maken van two of multifactor authentication. Dit is dan nodig om in te kunnen loggen en vervolgens jobs in de wachtrij van het batchsysteem te kunnen plaatsen. Die worden in beginsel op volgorde verwerkt. Jobs die eenmaal in de wachtrij zijn geplaatst, worden verder zonder verdere authenticatie afgehandeld."

Het draaien van een cryprocurrency-mining job is niet te onderscheiden van een moleculaire dynamica simulatie - om maar een van de vele gebruikte toepassingen van supercomputers te noemen, zegt Michielse. "Als het jobs van een gestolen login betreft dan ziet dat er voor een beheerder uit als een reguliere job."

Dat is anders wanneer hackers de job naast een reguliere job laten draaien. Dan is de kans op ontdekking wel veel groter omdat het systeem zich anders gedragen. Als dat al niet door de beheerder wordt opgemerkt, dan merken de gebruikers het wel. "De beschikbare resources worden dan namelijk verdeeld tussen de reguliere jobs en de cryptocurrency-mining software. In dat geval zullen de gebruikers merken dat hun jobs ongeveer een factor 2 langzamer worden. Meestal weten gebruikers vrij goed hoe lang hun simulaties duren. "Omdat er met 'beperkte' rekenbudgetten wordt gewerkt, zullen ze de helpdesk vragen waarom hun jobs opeens twee keer zo lang duren. Uiteindelijk zal de cryptocurrency-mining software dan ook als oorzaak worden gevonden", legt Michielse uit.

In het geval van het misbruik van Europese supercomputers wisten de criminelen gebruik te maken van bekende kwetsbaarheden om beheerdersrechten op de getroffen systemen te krijgen. Daarna is het systeem aangepast om cryptocurrency-mining software te installeren en te verstoppen, en deze vervolgens te starten.

meer informatie