Sicherheitsprobleme: Rechenzentren fahren Supercomputer herunter

Sven Bauduin
150 Kommentare
Sicherheitsprobleme: Rechenzentren fahren Supercomputer herunter
Bild: HLRS

Mehrere europäische Forschungs- und Hochleistungsrechenzentren melden akute Sicherheitsprobleme und fahren ihre Supercomputer herunter, darunter auch der neue HPE Apollo 9000 („Hawk“) des Höchstleistungsrechenzentrums Stuttgart (HLRS), der mit bis zu rund 26 PetaFLOPS gegenwärtig schnellste Supercomputer Deutschlands.

Hawk und SuperMUC-NG heruntergefahren

Auch das Leibniz-Rechenzentrum (LRZ) der Bayerischen Akademie der Wissenschaften in Garching bei München hat den Zugriff auf all seine Instanzen vorerst geschlossen und seine Supercomputer, darunter auch der SuperMUC-NG, der aktuell auf Platz 9 der TOP500 liegt, vorübergehend heruntergefahren.

Wir können einen Sicherheitsvorfall bestätigen, von dem unsere Hochleistungsrechner betroffen sind.

Sicherheitshalber haben wir deshalb die betroffenen Maschinen von der Außenwelt abgeschottet. Die Benutzer und die zuständigen Behörden sind informiert. Wir halten Sie über weitere Details auf dem Laufenden, bitten jedoch um Verständnis, dass wir keine Aussagen machen, so lange wir die Lage noch untersuchen.

Leibniz-Rechenzentrum der Bayerischen Akademie der Wissenschaften

Auch Juwels in Jülich vorerst abgeschaltet

Neben den Hochleistungsrechenzentren in Stuttgart und Garching bei München wurden auch die Supercomputer JURECA, JUDAC und JUWELS Module 1 am auf Physik und Supercomputing spezialisierten Forschungszentrum Jülich heruntergefahren, wie das Institut heute offiziell mitteilte. Alle drei Supercomputer sind zurzeit aus Sicherheitsgründen abgeschaltet.

Wie der Spiegel berichtet, wurden auch die Supercomputer bwUniCluster 2.0 und ForHLR II am Karlsruher Institut für Technologie (KIT) abgeschaltet.

Deutschlands schnellster Supercomputer HPC Apollo („Hawk“) wurde heruntergefahren
Deutschlands schnellster Supercomputer HPC Apollo („Hawk“) wurde heruntergefahren (Bild: HLRS)

Angriffe auf Rechenzentren in ganz Europa

Auch der Betreiber des Hochleistungsrechenzentrums Archer im schottischen Edinburgh ist betroffen und geht von Angriffen auf Hochleistungsrechenzentren in ganz Europa aus. Das Rechenzentrum selbst gibt an, das National Cybersecurity Center des britischen Geheimdienstes GCHQ eingeschaltet zu haben.

Due to a security exploitation on the ARCHER login nodes, the decision has been taken to disable access to ARCHER while further investigations take place. Jobs that are currently running or queued will continue to run, but you will be unable to log in or to submit new jobs.

We now believe this to be a major issue across the academic community as several computers have been compromised in the UK and elsewhere in Europe.

We have been working with the National Cyber Security Centre (NCSC) and Cray/HPE in order to better understand the position and plan effective remedies.

ARCHER

Auch die Supercomputer-Bauer von Cray und Hewlett Packard Enterprise (HPE) wurden bereits informiert und untersuchen zur Zeit die Hintergründe, über die indes noch nichts bekannt ist.

Coronavirus ein möglicher Hintergrund

Wie die Website The Register vermutet, könnte es sich bei den Angriffen darum gehen, an die Forschungsergebnissen im Kampf um einen Impfstoff gegen das Coronavirus und die daraus resultierende Lungenkrankheit COVID-19 zu gelangen.

Gestohlene Accountdaten als Schlüssel

Zumindest wie die Angriffe erfolgten, scheint weitestgehend gesichert, so zitiert erneut der Spiegel die Betreiber des Karlsruher Instituts für Technologie wie folgt:

Die Systeme wurden durch Angriffe über gestohlene Nutzer-Accountdaten kompromittiert. Eine schnelle Behebung des Problems ist nach aktuellem Kenntnisstand unwahrscheinlich.

Karlsruher Instituts für Technologie

Auch das bwForCluster NEMO in Freiburg wurde gehackt, auch hier das gleiche Einfalltor, kompromittierte Accountdaten.

Die Redaktion dankt Community-Mitglied „andi_sco“ für den Hinweis zu dieser Meldung.

Update 16.05.2020 10:55 Uhr

Rechenzentren noch immer offline

Die von den Angriffen betroffenen Hochleistungsrechenzentren, darunter auch die Einrichtungen in Freiburg, Garching bei München, Jülich, Karlsruhe und Stuttgart, sind weiterhin offline, die Supercomputer Hawk, SuperMUC-NG und JUWELS für die Wissenschaft nicht nutzbar.

Insgesamt soll es sich um 26 betroffene Rechenzentren in ganz Europa handeln, die zur Zeit nicht erreichbar sind.

Mining-Software gefunden

Wie das Computer Security and Incident Response Team (CSIRT) der europäischen Stiftung European Grid Infrastructure (EGI) berichtet, wurde auf einigen der kompromittierten Server Mining-Software gefunden, mit der die dezentrale, Blockchain-basierte Kryptowährung Monero (XMR) geschürft werden kann.

Die Angreifer hätten sowohl das TOR-Netzwerk als auch das Kernel-Rootkit „Diamorphine“ verwendet, um ihre Spuren zu verwischen und möglichst anonym zu operieren. Ob die Angriffe im direkten Zusammenhang mit den heruntergefahrenen Rechenzentren in ganz Europa stehen, ist aktuell noch unklar.

Landeskriminalamt Bayern ermittelt bereits

Wie Heise mitteilte, ermittelt inzwischen eine siebenköpfige Ermittlergruppe des Landeskriminalamtes am LRZ in Garching bei München. Sowohl SuperMUG-NG als auch das Linux Cluster sind nach wie vor offline.