Top-Supercomputer in Europa schürfen unfreiwillig für einige Nächte Monero
Der SuperMUC-NG im Garchinger Leipnitz-Center war womöglich ebenfalls für einige Nächte ein Monero-Miner. Bild von Veronika Hohenegger, alle Rechte beim Leipnitz-Center.
Mehrere Supercomputer in Europa wurden gehackt. Die Angreifer haben darauf einen Kryptominer installiert, der begonnen hat, Monero zu minen. In der Hashrate von Monero war dies deutlich zu sehen. Man kann den Vorfall auch als Simulation des Worst-Case-Angriffs auf die Kryptowährung verstehen – wie auch auf die Supercomputer. In beiden Fällen ging es glimpflich aus.
Ein Supercomputer ist super-schnell, aber nicht automatisch super-sicher. Das zeigte sich in den letzten Wochen, als gleich mehrere der Hochleistungsrechner in Europa gehackt wurden. Berichte gehen von mindestens einem Dutzend der Rechner aus, die üblicherweise für wissenschaftliche Kalkulationen verwendet werden.
In Deutschland meldeten fast alle großen Supercomputer-Zentren einen Vorfall: Das Leipnitz Supercomputer Center in Garching, das Stuttgarter Höchstleistungsrechenzentrum sowie die Supercomputer in Jülich. Auch im schottischen Edinburgh, im schweizer Zürich sowie möglicherweise in Spanien und Polen werden Angriffe auf die Supercomputer gemeldet. Die Angreifer haben vermutlich SSH-Zertifikate aus Universitäten in Polen und China gestohlen, die benutzt werden, damit sich die Forscher auch an ihren Heimatuniversitäten in die Supercomputer einloggen können. Über einen Exploit im Linux Kernel der Supercomputer konnten die Hacker sich Zugang zur Admin-Ebene verschaffen.
Zunächst gingen Analysten davon aus, dass die Angreifer erste Forschungsergebnisse zu Corona abgreifen wollten, da an mehreren der betroffenen Supercomputern, etwa in Edinburgh, Simulationen im Zuge der Entwicklung eines Impfstoffes laufen. Tatsächlich aber hatten die Hacker etwas ganz anderes im Sinn. Sie haben nämlich umgehend Monero-Miner auf den Supercomputern installiert. Die Mining-Software war so eingestellt, dass sie nur in der Nacht lief, um am Tag, wenn Forscher die Rechner bedienen, nicht aufzufallen. Monero ist ein Privacycoin, der besonders beliebt bei Mining-Malware ist, da er erstens ausgesprochen CPU-freundlich ist, und zweitens anonyme Transaktionen hat.
Während des Angriffs ist die Hashrate von Monero kurzzeitig um etwa 15 Prozent angestiegen und hat für einen kurzen Moment ein Allzeithoch von 2 Gigahash je Sekunde erreicht. Kurze Zeit danach haben die Betreiber der betroffenen Supercomputer diese vorübergehend ausgeschalten, womit die Hashrate wieder so rasch gefallen ist, wie sie angestiegen war. Beobachter von Monero haben daher schon vermutet, dass eine Mining-Malware im Spiel ist, bevor dies für zumindest zwei Supercomputer offiziell bestätigt wurde.
Die Hashrate von Monero zeigt sehr deutlich die Supercomputer-Spitze am 14. Mai. Das absolute Hoch von 2 Gigahash wird von dem Chart ausgeflacht; es war jedoch in der Monero-Software zu sehen. Bild von CoinWarz
Ein Angriff mit mehreren Supercomputern ist für einen durch CPUs geschürften Coin wie Monero mit das Worst-Case-Szenario. Dies entspricht mehr oder weniger den Ressourcen, die ein Staat – oder eine Verbindung von Staaten – aufbringen können, um Monero zu stoppen. Dass einige der schnellsten Computer von Europa lediglich 15 Prozent der Hashrate gestellt haben, zeigt, dass dieser Angriff relativ zahnlos ist. Allerdings liegt Europa in Sachen Supercomputing weit hinter Asien und den USA zurück. Von den Top-10 der Top-500-Liste befinden sich gerade mal zwei Supercomputer in europäischen Rechenzentren. Alle anderen sind in den USA, China oder Japan.
Auch für die Betreiber der Supercomputer ist die Infektion mit der Mining-Malware ein glimpflich verlaufender Worstcase. Ein Hacker, der sich Zugang zu einem Supercomputer verschafft, könnte Daten verschlüsseln, Simulationen verfälschen, Forschungsergebnisse abgreifen oder ein horrendes Lösegeld dafür verlangen, dass er es nicht macht. Die Mining-Malware hingegen hat lediglich für einige Nächte die Forschungsarbeit verlangsamt und Strom abgegriffen. Somit hält sich der Schaden in extrem engen Grenzen.
Vielen Dank für den Artikel!
Erst einmal ist es für die Betreiber der Supercomputer ein Super-GAU, dass diese gehackt werden konnten und das Monero Mining, welches schnell erkannt werden konnte eher mit einem Intrusion Detection System vergleichbar, denn anderenfalls hätten sich die Angreifer wahrscheinlich eher verdeckt gehalten und auf Daten gewartet, die sie abgreifen und anderweitig monetarisieren können. Dazu könnten z.B. die Funkzellendaten zählen, die z.B. die Telekom in der aktuellen Pandemie an das RKI weitergeleitet hat.
Für Monero war das natürlich auch ein Stress-Test, wobei die Entwickler von RandomX davon ausgegangen sind, dass 3-4 der Top-Supercomputer weltweit ca. 1GH/s generieren könnten, was mit den knapp 200MH/s beim aktuellen Angriff durchaus hinhauen dürfte.
Die entscheidende Frage ist eher: Was könnte ein staatlicher Angreifer wie die USA oder China machen, wenn er die Mehrheit der Hashrate übernimmt?
– Transaktionen zensieren. – Theoretisch möglich, aber da weder Absender noch Empfänger einsehbar sind, müsste man wohl alle Transaktionen zensieren und dem Netzwerk als Ganzes durchaus schaden, weil in leeren Blöcken keine Transaktionen bestätigt würden. Mit einer Mehrheit der Hashrate kann man das aufrecht erhalten, aber das kostet auf Dauer Unmengen an Strom und vor allem blockiert man die Supercomputer für sinnvollere Aufgaben…
– Double Spends durch Reorgs. – Möglich, aber kaum vorstellbar bei staatlichen Akteuren, da rechtlich in kaum einem Staat irgendwie vereinbar. Würde dem Netzwerk aber noch stärker zusetzen, da das Vertrauen erschüttert werden könnte…
– Hidden / Selfish Mining, um einen massiven Reorg zu forcieren. – Durchaus denkbar und wahrscheinlich der größte Angriffsvektor, wenn jemand „kurzfristig“ z.B. über 24 Stunden mehr Hashrate stellen kann als alle anderen Miner zusammen und dann eine andere Chain veröffentlicht.
Der letzte Angriffsvektor ist durchaus relevant, denn das Vertrauen in das Netzwerk würde stark leiden und Exchanges könnten unter Umständen Probleme mit double-Spends bekommen, die noch nichtmal durch den Angreifer selbst verursacht wurden. Man muss aber beachten, dass Monero derzeit eine Marktkapitalisierung von derzeit unter 1% der Bitcoins hat und bereits etliche Supercomputer dafür notwendig wären. Die Emission Curve von Monero sieht auch eine Tail Emission vor, die stetig ist und somit dürfte nicht mit einer Abwanderung der Miner zu rechnen sein…
Alles in Allem kann man sagen, dass CPU Mining nur für eine oder wenige dominierende Chains in diesem Bereich „sicher“ ist, denn kleinere Projekte können ähnlich wie bei ASIC-dominierten Coins durch einen oder wenige Player dominiert werden. Auch nur ein Supercomputer könnte die Mehrheit übernehmen…
Der Hack war nicht nur für Monero ein Stress-Test, sondern vor allem ein Sicherheits-Check für die Betreiber der Hochleistungsrechner.
Wenn der LHC in der Schweiz genauso gut abgesichert ist wie diese Hochleistungsrechner, dann starten Hacker demnächst ein „Experiment“, bei dem unsere Erde in einem schwarzen Loch verschwindet.
Stimmt, ein Glück, dass in Jülich zumindest kein Forschungsreaktor mehr betrieben wird, wenn der genauso gut abgesichert war wie deren Supercomputer, dann gute Nacht.
interessant und auf jeden fall nicht so schädlich wie ransomware, die den zugriff auf daten blockiert oder sogar noch leakt…