Misbruik supercomputer niet eenvoudig te ontdekken

De criminelen die begin deze maand gedurende ruim een week een tiental Europese supercomputers binnendrongen, deden dat met de inloggegevens van werknemers van verschillende instituten in onder meer Canada, China en Polen. AG Connect vroeg Peter Michielse, CTO van SURFsara, of onze nationale supercomputer - die bij SURFsara staat - ook slachtoffer had kunnen zijn. Zoals bij vele grote systemen kan iedereen met valide inloggegevens ook jobs draaien op de Nationale supercomputer.

Michielse: "Gebruikers hebben bij ons command line toegang tot een aantal login nodes. Er wordt geen gebruik gemaakt van een webinterface. Gebruikers kunnen optioneel gebruik maken van two of multifactor authentication. Dit is dan nodig om in te kunnen loggen en vervolgens jobs in de wachtrij van het batchsysteem te kunnen plaatsen. Die worden in beginsel op volgorde verwerkt. Jobs die eenmaal in de wachtrij zijn geplaatst, worden verder zonder verdere authenticatie afgehandeld."

Het draaien van een cryprocurrency-mining job is niet te onderscheiden van een moleculaire dynamica simulatie - om maar een van de vele gebruikte toepassingen van supercomputers te noemen, zegt Michielse. "Als het jobs van een gestolen login betreft dan ziet dat er voor een beheerder uit als een reguliere job."

Dat is anders wanneer hackers de job naast een reguliere job laten draaien. Dan is de kans op ontdekking wel veel groter omdat het systeem zich anders gedragen. Als dat al niet door de beheerder wordt opgemerkt, dan merken de gebruikers het wel. "De beschikbare resources worden dan namelijk verdeeld tussen de reguliere jobs en de cryptocurrency-mining software. In dat geval zullen de gebruikers merken dat hun jobs ongeveer een factor 2 langzamer worden. Meestal weten gebruikers vrij goed hoe lang hun simulaties duren. "Omdat er met 'beperkte' rekenbudgetten wordt gewerkt, zullen ze de helpdesk vragen waarom hun jobs opeens twee keer zo lang duren. Uiteindelijk zal de cryptocurrency-mining software dan ook als oorzaak worden gevonden", legt Michielse uit.

In het geval van het misbruik van Europese supercomputers wisten de criminelen gebruik te maken van bekende kwetsbaarheden om beheerdersrechten op de getroffen systemen te krijgen. Daarna is het systeem aangepast om cryptocurrency-mining software te installeren en te verstoppen, en deze vervolgens te starten.

Hoe beschermt SURFsara de nationale supercomputer tegen dergelijke aanvallen?

"SURFsara is lid van diverse CERT-organisaties en krijgt daar direct security informatie van. Daarnaast een eigen CERT-team. Voor zover mogelijk worden security updates – indien beschikbaar – van systeemsoftware zo snel mogelijk doorgevoerd in het geval van kwetsbaarheden. Als er van een nieuwe kwetsbaarheid een exploit bekend is, wordt er een risico-inschatting gemaakt en indien nodig wordt het systeem onmiddellijk offline gehaald om het systeem te checken en te updaten."

Waarom moesten de getroffen supercomputers in veel gevallen uit om het systeem te schonen van de mining-software?

"Het is – vergelijkbaar met een virusinfectie op een Windows laptop – een gecompromitteerd systeem. Voor sommige kwetsbaarheden weet je niet in hoeverre het systeem is gecompromitteerd en wat er is gewijzigd. Het is mogelijk dat er allerlei achterdeuren zijn opengezet. In dat geval – wederom niet anders dan op een Windows laptop – is de enige goede oplossing om het systeem van scratch opnieuw te installeren."

Walter Lioen, Unit Manager Compute Services bij SURFsara, leverde de details voor de antwoorden op de vragen die AG Connect aan Peter Michielse stelde.