Waren Viren, Malware oder bösartige Webseiten bisher vor allem dafür bekannt, Schaden anzurichten oder Daten auszuspähen, kann seit der Erfindung von Kryptowährungen ein neues Phänomen beobachtet werden: Kryptomining. Dabei nutzen Cyber-Angreifer die Rechenleistung Ihres Computers unbemerkt, um auf Ihre Kosten Krytowährungen wie Bitcoin zu schürfen.
Autor: Stefan Achleitner; Aufmacherbild: (C) Pixabay/TheDigitalArtist; CC0
Bitcoin oder Etherium sind nicht nur Computerexperten ein Begriff, sondern haben Einzug in das Vokabular vieler Menschen gefunden. Insgesamt gibt es aber über 1500 Kryptowährungen, die mehr oder weniger oft genutzt werden. Die nicht so bekannten Kryptowährungen werden oft als „altcoins“ bezeichnet, da sie eine Alternative zu den bekannten Währungen wie Bitcoins darstellen.
Kryptowährungen wie Bitcoin basieren auf der Blockchain-Technologie. Wird mit Bitcoins bezahlt, also ein bestimmter Betrag überwiesen, wird eine Transaktion in die Blockchain-Datenbank geschrieben.
Krypto-Berechnungen sind die Grundlage von Bitcoin & Co.
Um eine Transaktion zu validieren, also auf ihre Echtheit und Korrektheit zu überprüfen und zur Blockchain hinzuzufügen, muss eine kryptographische Aufgabe gelöst werden, welche Rechenleistung in Anspruch nimmt. Für eine solche gelöste Aufgabe, die eine Transaktion bestätigt, werden „Miner“, also Nutzer, die Ihre Rechenleistung zur Verfügung stellen, mit einem bestimmten Betrag einer Kryptowährung, z.B. Bitcoin, entlohnt. Durch einen solchen Vorgang werden neue Coins einer Währung in Umlauf gebracht.
Die Schwierigkeit einer solchen kryptografischen Aufgabe in der Blockchain ist proportional zur Verfügung gestellten Rechenleistung eines Miners. Da es für eine Kryptoaufgabe nur eine bestimmte Chance gibt, diese zu lösen, schließen sich Miner in Mining-Pools zusammen und teilen die erhaltenen Coins, wenn einer der Miner die Aufgabe löst.
Das „Mining“ von Kryptowährungen stellt also grundsätzlich einen Austausch von Rechenleistung gegen virtuelles Geld dar. Je mehr Rechenleistung man zur Verfügung hat, umso mehr Coins lassen sich damit gewinnen. Diese Möglichkeit nutzen jedoch auch Cyber-Kriminelle aus – durch sogenanntes Kryptomining. Eine Gruppe von Cyber-Security-Forschern hat dieses Phänomen im Paper „MineSweeper: An In-depth Look into Drive-by Cryptocurrency Mining and Its Defense“ beschrieben, welches im Oktober 2018 auf der Computer and Communications Security Konferenz erschienen ist.
Drive-by-Mining: Gekaperte Rechenleistung generiert Geld in Kryptowährungen
Die Cyber-Angreifer nutzen dabei das sogenannte Drive-by-Mining für ihre Zwecke. Dazu betten sie Script-Code in eine Webseite ein, der dann die CPU eines Besuchers der Webseite im Hintergrund nutzt, um wie beschrieben Kryptocoins zu gewinnen. Für den Nutzer hat dies den Nachteil, dass durch die höhere Belastung der CPU seines Rechners auch mehr Strom verbraucht wird, was ohne seine Einwilligung geschieht. Außerdem kann die höhere Systembelastung dazu führen, dass der Rechner nur noch zäh reagiert oder andere, ihm eigentlich zugewiesene Aufgaben nur noch eingeschränkt oder gar nicht mehr ausführen kann.
Allerdings muss Mining nicht grundsätzlich bösartig sein. Es kann zum Beispiel auch als Alternative zu aggressiver Online Werbung dienen, die ansonsten Daten ihrer Nutzer sammeln. Auch die Unicef hat eine Webseite gestartet, um Mining für Spenden zu betreiben (UNICEF wants you to mine cryptocurrency for charity).
Wann immer ein solches Mining ohne Wissen des Nutzers im Hintergrund betrieben wird, kann es jedoch als illegale Aktivität eingestuft werden. Angreifer können sich zum Beispiel auch in einen Webserver hacken und ein Mining-Script in die angebotenen Webseiten einbetten. In einem solchen Fall schädigen sie sowohl den Betreiber als auch die Nutzer betroffener Webseiten.
Schlüsselfertige Hacker-Tools für Krypto-Mining
Eine weitere Angriffsmethode ist das Einbetten von Mining-Scripts in Werbeanzeigen, zum Beispiel in Googles Doubleclick. Solche Anzeigen können dann beispielsweise beim Abspielen von YouTube-Videos angezeigt werden. Auch sogenannte „Pop-under Windows“ – also Browserfenster, die sich unbemerkt im Hintergrund öffnen – dienen häufig zum illegalen Cryptomining. Ein weiterer Weg, die illegalen Mining-Scripts zu verteilen, sind öffentliche WLAN-Hotspots oder Netzwerkrouter, die von einem Angreifer infiziert werden und anschließend Mining-Scripts in die Datenpakete von Nutzern einfügen.
Mittlerweile gibt es auch Services wie „Coinhive“, die es auch unerfahreneren Hackern sehr einfach machen, Mining-Scripts zu erstellen und in Webseiten einzubetten. Da populäre Kryptowährungen wie Bitcoin mit normalen CPUs jedoch nur mehr sehr schwer oder extrem langsam gewonnen werden können, nutzen solche Services typischerweise alternative Währungen. Ein Beispiel ist die Kryptowährung „Monero“ – sie basiert auf Algorithmen, die noch mit normalen CPUs gelöst werden können.
Schutzmaßnahmen gegen illegales Kryptomininig
Ob Drive-by-Mining profitabel ist, hängt vor allem von der Höhe des Traffics der befallenen Website ab. Wenig frequentierte Webseiten mit sehr kurzen Besuchszeiten werden kaum Profit generieren. Top-Videostreamer von Online-Games mit tausenden Nutzern, die viele Stunden auf einer Seite verbringen, können jedoch mehrere $10.000 im Monat damit verdienen.
Illegale Mining-Aktivitäten zu erkennen und zu unterbinden, ist bislang sehr schwierig. Eine Problem ist dabei, dass viele Kryptominig-Services versuchen, die Mining-Scripts so gut es geht zu verschleiern oder zufällige URLs zur Kommunikation zu benutzen. Um diesen Schwierigkeiten entgegenzuwirken, hat die bereits erwähnte Forschergruppe in ihrem Paper Methoden vorgestellt, mit denen sich typische Drive-by-Kryptomining-Methoden besser erkennen lassen.
Diese Erkennung basiert auf der Identifikation kryptografischer Basisfunktionen, ohne die ein Script beim Mining nicht auskommt. Hierzu gehören vor allem die prozessorintensive Berechnung von Hash-Funktionen oder auch typische Rechenoperationen wie XOR, Shift oder Rotation. Werden solche Funktionen von der CPU eines Rechners beim Besuch einer Webseite ausgeführt, kann das Konzept „MineSweeper“ sie erkennen und damit ein starkes Indiz für die Ausführung von Drive-by-Mining liefern. Der Nutzer kann dann gewarnt werden und sich daraufhin entscheiden, ob die betroffene Seite wirklich geladen werden oder das Script weiter ausgeführt werden soll.
Allerdings ist die Umsetzung dieser Verteidigungsmethode nicht ganz einfach, da die Überwachung der betroffenen Events im Rechner in der Regel Root-Rechte voraussetzt. Um die „MineSweeper“-Methode optimal einsetzen zu können, sollte sie daher direkt ins Betriebssystem integriert werden.