Exploit ermöglichte Bitcoin-Diebstahl aus Mining-Pool

Dells Sicherheitsabteilung Secureworks Counter Threat Unit (CTU) berichtet von einem von ihr entdeckten Exploit, mit dem sich Kryptowährung aus Mining-Pools stehlen lässt. Zumindest ein Hacker hat die Schwachstelle bereits genutzt, um im Lauf von vier Monaten an virtuelle Währung im Wert von 83.000 Dollar zu kommen.

Den Forschern zufolge sandte er eine falsche Broadcast über das fürs Internet-Routing verwendete Border Gateway Protocol(BGP) aus, um Netzwerke in Service-Anbietern zu kompromittieren. Dies gelang ihm zwischen Februar und Mai 2014 bei einigen der bekanntesten, darunter Amazon, Digital Ocean und OHV. Insgesamt wurden mindestend 51 Netze von 19 unterschiedlichen ISPs kompromittiert, und mindestens einem Eindringling gelang es dort auch, die Verbindungen von Kryptowährungs-Minern zu entführen sowie in einen eigenen Mining-Pool umzuleiten.

Der Exploit stellte sicher, dass die Miner weiter nach Blocks suchen und damit neue Bitcoins und andere virtuelle Zahlungsmittel generieren konnten. Umgeleitete Server sorgten aber dafür, dass die Gewinne nicht bei den Minern, sondern bei den Eindringlingen landeten.

Funktionsweise des Mining-Exploits (Diagramm: Dell Secureworks)

Bitcoin mit einem aktuellen Wert von 590 Dollar für 1 BTC stand zwar im Mittelpunkt des Raubzugs, war aber nicht die einzige betroffene Kryptowährung. „Der Eindringling entführte den Mining-Pool, sodass viele Kryptowährungen betroffen waren“, schreiben die Forscher. „Die genutzten Protokolle machen es unmöglich, die Währungen genau zu identifizieren. CTU konnte die Aktivitäten jedoch zu bestimmten Adressen zurückverfolgen.“

So kam Dell Secureworks etwa mit einem Miner ins Gespräch, der schätzte, im März auf diese Weise 8000 Dogecoin verloren zu haben – mit einem Gegenwert von 1,39 Dollar. Er konnte später eine Firewall-Regel aufstellen, die Verbindungen zum Mining-Server des unbekannten Hackers abblockte und ihm erlaubte, sein Mining ungestört fortzusetzen.

Die falschen Broadcasts konnten die Forscher letztlich zu einem einzelnen Router in Kanada zurückverfolgen. Der Kriminelle konnte nicht identifiziert werden, Secureworks vermutet aber, dass es sich um einen Mitarbeiter eines ISPs, einen ehemaligen Mitarbeiter im Besitz des seither nicht geänderten Router-Passworts oder einfach um einen Black-Hat-Hacker handelt. Der am engsten mit den Aktivitäten in Verbindung stehende ISP wurde informiert, drei Tage später stoppte die illegale Aktivität.

Obwohl jeden Tag der Gegenwert von geschätzten 2,6 Millionen Dollar an Kryptowährung durch Mining erzeugt werden, ist die Gefahr weiterer BGP-Angriffe laut den Sicherheitsforschern minimal: „BGP-Peering erfordert, dass beide Netze manuell konfiguriert und einander bekannt sind. Da Menschen an der Konfiguration beteiligt sind, ist BGP-Peering ziemlich sicher: ISPs werden ohne legitimen Grund kein Peering vornehmen. Diese Entführungen und Miner-Umleitungen wären ohne Peer-to-Broadcast-Routen nicht möglich gewesen.“

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago