{"id":56995,"date":"2020-05-19T15:31:23","date_gmt":"2020-05-19T13:31:23","guid":{"rendered":"https:\/\/www.crypto-news-flash.com\/monero-mining-with-malware-that-infected-supercomputers-in-europe\/"},"modified":"2020-05-19T15:46:48","modified_gmt":"2020-05-19T13:46:48","slug":"monero-mining-with-malware-that-infected-supercomputers-in-europe","status":"publish","type":"post","link":"https:\/\/crypto-news-flash.com\/de\/monero-mining-with-malware-that-infected-supercomputers-in-europe\/","title":{"rendered":"Monero Mining Malware infiziert Supercomputer in Europa"},"content":{"rendered":"<ul>\n<li><strong>Durch die Nutzung von b\u00f6sartiger Malware wurde auf mehreren Supercomputern in Europa die Kryptow\u00e4hrung Monero gesch\u00fcrft.<br \/>\n<\/strong><\/li>\n<li><strong>Potenzielle Angreifer haben Monero-Proxy-Hosts mit einer Konfiguration verwendet, die eine Erkennung verhindert.<\/strong><\/li>\n<\/ul>\n<hr \/>\n<p>Laut neuesten Berichten verschiedener europ\u00e4ischer Institutionen gab es in den letzten Tagen Vorf\u00e4lle im Zusammenhang mit dem illegalen Mining der <a href=\"https:\/\/www.crypto-news-flash.com\/de\/coins\/\">Kryptow\u00e4hrung<\/a> <a href=\"https:\/\/www.crypto-news-flash.com\/de\/was-ist-monero-xmr-beginner-guide-der-beste-privacy-coin\/\">Monero<\/a> unter Verwendung von Malware zur Infizierung von Supercomputern. Die Vorf\u00e4lle ereigneten sich in verschiedenen europ\u00e4ischen L\u00e4ndern. Zu den betroffenen L\u00e4ndern geh\u00f6ren das Vereinigte K\u00f6nigreich, Deutschland, die Schweiz und Spanien. \u00c4hnlichkeiten zwischen den Vorf\u00e4llen lassen die Forscher darauf schlie\u00dfen, dass alle Angriffe auf eine einzige Gruppe oder Einheit zur\u00fcckzuf\u00fchren sein k\u00f6nnten. Es gibt jedoch keine endg\u00fcltigen Beweise daf\u00fcr.<\/p>\n<h2>Illegales Monero-Mining im gro\u00dfen Stil<\/h2>\n<p>Der j\u00fcngste <a href=\"https:\/\/www.archer.ac.uk\/status\/\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">Bericht<\/a>, der sich n\u00e4her mit dem Vorfall und der Monero-Mining-Malware besch\u00e4ftigte, wurde vom britischen National Supercomputing Service, ARCHER, ver\u00f6ffentlicht. Der am 11. Mai ver\u00f6ffentlichte Bericht k\u00fcndigt die Deaktivierung des Zugriffs auf das ARCHER-System in Folge des illegalen Minings an. Die Deaktivierung war urspr\u00fcnglich auf die Ausnutzung einer Schwachstelle in den Anmeldeknoten von ARCHER zur\u00fcckzuf\u00fchren, wie der Bericht feststellt.<\/p>\n<p>Bei sp\u00e4teren Erhebungen und nach eingehender Untersuchung kommt der Bericht zu dem Schluss kommen, dass das Problem mit einer Reihe von Vorf\u00e4llen zusammenhing, die die Systeme mehrerer europ\u00e4ischer Institutionen betrafen. Ein <a href=\"https:\/\/www.bwhpc.de\/news.html\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">Bericht<\/a> von bwHPC Deutschland offenbarte am 11. Mai ebenfalls, dass es die folgenden High Performance Computing (HPC)-Systeme deaktivieren wird: bwUniCluster 2.0, ForHLR II, bwForCluster JUSTUS, bwForCluster BinAC und Hawk.<\/p>\n<p>Ein weiterer <a href=\"https:\/\/www.cscs.ch\/publications\/news\/2020\/shutdown-after-cyber-incident\/\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">Bericht<\/a> vom Nationalen Supercomputing Center in Z\u00fcrich best\u00e4tigte die urspr\u00fcngliche Theorie der Forscher. Der Bericht, der Tage sp\u00e4ter, am 16. Mai, ver\u00f6ffentlicht wurde, besagt, dass verschiedene akademische Datenzentren und HPC-Systeme auf der ganzen Welt &#8222;Cyber-Angriffe bek\u00e4mpften und deshalb zahlreiche Systeme deaktiviert werden mussten&#8220;. Wie in fr\u00fcheren Berichten wird auch in diesem letzten Bericht das Monero-Mining nicht explizit erw\u00e4hnt.<\/p>\n<p>Der Mitbegr\u00fcnder von Cado Security, Chris Doman, ver\u00f6ffentlichte jedoch die Ergebnisse der Untersuchungen seiner Firma zu den Vorf\u00e4llen. Cado Security behauptet, dass die Vorf\u00e4lle miteinander in Zusammenhang stehen, da sie sich alle auf eine Datei mit demselben Namen, &#8222;fonts&#8220;, beziehen. Diese Datei wird in Verbindung mit einer anderen Datei namens &#8222;low&#8220;, die zur Bereinigung der Protokolle und zum Verbergen von Hinweisen auf die Angriffe verwendet wird, als Ladeprogramm verwendet. Im Bericht von Cado hei\u00dft es:<\/p>\n<blockquote><p>(los atacantes) Sie verwenden vielleicht eine oder mehrere Methoden f\u00fcr die Privilegieneskalation, m\u00f6glicherweise CVE-2019-15666. Im Moment ist die nationale britische Einrichtung ARCHER offline, da sie einen grundlegenden Exploit erlitten hat.<\/p>\n<p>Die Akteure kommen von den folgenden IP-Adressen, 202.120.32.231 und 159.226.161.107, Sie erhalten keine Vermutungen, aus welchem Land diese stammen.<\/p><\/blockquote>\n<p>Dieselben IP-Adressen wurden als Teil anderer Vorf\u00e4lle an den Shanghaier Jiaotong-Universit\u00e4ten und im chinesischen Wissenschafts- und Technologienetz aufgezeichnet. Cado konnte auch feststellen, dass die &#8222;Uploaded&#8220;- und &#8222;Cleaner&#8220;-Dateien aus den genannten europ\u00e4ischen L\u00e4ndern auf VirutsTotal hochgeladen wurden.<\/p>\n<p>In \u00e4hnlicher Weise hei\u00dft es in einem separaten Bericht des European Computer Security Response Team, dass Angreifer kompromittierte SSH-Zugangsdaten verwenden, um zwischen verschiedenen Opfern hin- und herzuspringen. Die Angreifer wandeln dann die CPU, die sie mit der Malware infizieren, in eine der verschiedenen unten aufgef\u00fchrten Rollen um:<\/p>\n<blockquote><p>XMR-Mining-Hosts (mit einer versteckten XMR-Bin\u00e4rdatei)<\/p>\n<p>XMR-Proxy-Hosts ; Der Angreifer benutzt diese Hosts von den XMR-Mining-Hosts, um sich mit anderen XMR-Proxy-Hosts und schlie\u00dflich mit dem eigentlichen Mining-Server zu verbinden.<\/p>\n<p>SOCKS-Proxy-Hosts (die eine microSOCKS-Instanz auf einem hohen Port ausf\u00fchren) ; Der Angreifer verbindet sich mit diesen Hosts \u00fcber SSH, oft von Tor aus. MicroSOCKS wird auch von Tor aus benutzt.<\/p>\n<p>Tunnel-Hosts (SSH-Tunneling) ; Der Angreifer verbindet sich \u00fcber SSH (kompromittiertes Konto) und konfiguriert NAT PREROUTING (normalerweise f\u00fcr den Zugriff auf private IP-R\u00e4ume).<\/p><\/blockquote>\n<blockquote class=\"twitter-tweet\" data-width=\"550\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">I took a look at the recent attacks against Supercomputers and found some more details on attacks against Supercomputers in the UK, US, Germany and elsewhere -&gt; <a href=\"https:\/\/t.co\/EXdxB2jPI1\">https:\/\/t.co\/EXdxB2jPI1<\/a> <a href=\"https:\/\/t.co\/3gOaLKCfyQ\">pic.twitter.com\/3gOaLKCfyQ<\/a><\/p>\n<p>&mdash; chris doman (@chrisdoman) <a href=\"https:\/\/twitter.com\/chrisdoman\/status\/1261662464107843584?ref_src=twsrc%5Etfw\">May 16, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Zum Redaktionszeitpunkt steht XMR bei 66,24 USD und verzeichnet ein Plus 1 % in den letzten 24 Stunden und folgt damit der allgemeinen <a href=\"https:\/\/www.crypto-news-flash.com\/de\/kurse\/\">Marktstimmung am Kryptomarkt.\u00a0<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Durch die Nutzung von b\u00f6sartiger Malware wurde auf mehreren Supercomputern in Europa die Kryptow\u00e4hrung Monero gesch\u00fcrft. Potenzielle Angreifer haben Monero-Proxy-Hosts mit einer Konfiguration verwendet, die eine Erkennung verhindert. Laut neuesten Berichten verschiedener europ\u00e4ischer Institutionen gab es in den letzten Tagen Vorf\u00e4lle im Zusammenhang mit dem illegalen Mining der Kryptow\u00e4hrung Monero unter Verwendung von Malware zur<\/p>\n","protected":false},"author":12,"featured_media":6084,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[],"tags":[],"class_list":["post-56995","post","type-post","status-publish","format-standard","has-post-thumbnail"],"acf":[],"_links":{"self":[{"href":"https:\/\/crypto-news-flash.com\/de\/wp-json\/wp\/v2\/posts\/56995","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/crypto-news-flash.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/crypto-news-flash.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/crypto-news-flash.com\/de\/wp-json\/wp\/v2\/users\/12"}],"replies":[{"embeddable":true,"href":"https:\/\/crypto-news-flash.com\/de\/wp-json\/wp\/v2\/comments?post=56995"}],"version-history":[{"count":0,"href":"https:\/\/crypto-news-flash.com\/de\/wp-json\/wp\/v2\/posts\/56995\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/crypto-news-flash.com\/de\/wp-json\/wp\/v2\/media\/6084"}],"wp:attachment":[{"href":"https:\/\/crypto-news-flash.com\/de\/wp-json\/wp\/v2\/media?parent=56995"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/crypto-news-flash.com\/de\/wp-json\/wp\/v2\/categories?post=56995"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/crypto-news-flash.com\/de\/wp-json\/wp\/v2\/tags?post=56995"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}