Miner wider Willen
Unrechtmäßiges „Schürfen“ von Kryptowährungen machtauch vor Unternehmenssystemen nicht halt. Unser Autorinformiert über Hintergründe und Auswirkungen solcher speziellen Malware sowie mögliche Gegenmaßnahmen.
Von Tim Berghoff, Bochum
Kryptowährungen wie Bitcoin sind seit einiger Zeit groß in Mode – vielerorts werden sie als das „next big Thing“ der Finanzbranche gefeiert. Wer die Möglichkeit hat, versucht von dem Boom zu profitieren – und dort, wo man sich große Gewinne verspricht, sind auch Kriminelle nicht weit. Gerade für Cybergangster ist Kryptogeld zu einem wichtigen Thema geworden, nicht zuletzt durch die Nutzung dieser virtuellen Währungen für schwer nachverfolgbare Lösegeldzahlungen. Das Handelsgut der Zukunft ist Rechenleistung: je mehr Rechenleistung, desto mehr Gewinn winkt – umso besser, wenn man diese Leistung nicht selbst bezahlen muss …
Darüber hinaus wird das den Kryptowährungen zugrunde liegende Blockchain-Verfahren stellenweise als „Heilsbringer“ für alle möglichen Anwendungen herbeigesehnt: von der Entwicklung von Smart Contracts zur Abwicklung von Geschäftstransaktionen bis hin zur sicheren Übertragung von Produktionsdaten vom Entwickler zur Fertigungsanlage (s. a. S. 68). Das Verfahren hat zahlreiche Stärken, die sie für diese Anwendungsbereiche attraktiv macht, wie Redundanz, Fälschungssicherheit von Transaktionen und eine nach aktuellem Stand sichere Verschlüsselung.
Plötzlicher Reichtum
Spätestens seit dem beispiellosen Bitcoin-Boom Ende 2017, der einigen „Early Adopters“ dieser Zahlungsmittel praktisch über Nacht zu großem Reichtum verhalf, sind Kryptowährungen auch im Bewusstsein einer breiteren Öffentlichkeit angekommen. Bei einigen führte der Boom zu einer panischen Suche nach alten Festplatten, auf denen vielleicht vergessene Schätze in einer alten Bitcoin-Wallet schlummerten.
Um die virtuellen Münzen zu generieren, waren gerade zu Anfang keine großen Sprünge notwendig: Jeder mit einem halbwegs leistungsstarken PC konnte mitmachen. Je mehr Transaktionen ein „Node“ verarbeitete, desto höher fiel der „geschürfte“ Betrag aus, der an den Betreiber ausgeschüttet wurde.
Je größer jedoch die Verbreitung einer Kryptowährung wird, desto mehr Rechenleistung benötigt man, um einen nennenswerten Gewinn zu erzielen. Die Leistungsfähigkeit des Prozessors ist dabei heute nicht mehr ausschlaggebend. Grafikkarten können Berechnungen, wie sie zum Schürfen (Mining) von Kryptogeld erforderlich sind, wesentlich schneller ausführen als jede normale CPU – statt den Prozessor die Berechnungen durchführen zu lassen, werden die rechenintensivsten Aufgaben an Hochleistungs-Grafikkarten übertragen.
Derzeit herrscht im wahrsten Sinne des Wortes eine Goldgräberstimmung an der Kryptowährungs-Front. Diese führte zeitweilig sogar dazu, dass einige Grafikkartenmodelle der Oberklasse monatelang nicht lieferbar waren und die Preise dafür explodierten. Eifrige Cryptominer, die das schnelle Geld witterten, kauften teilweise massenhaft Grafikkarten auf, um sie zu Clustern zusammenzuschließen und virtuelles Gold zu schürfen.
Stromhunger und Profit
Der Energieverbrauch steigt so natürlich schnell enorm an und ist für Privatleute nur noch schwer zu finanzieren: Auf der einen Seite muss immer mehr Energie aufgewendet werden und auf der anderen kommt immer weniger Profit heraus. Hier liegt auch eine der viel kritisierten Schwächen, an denen speziell große Blockchain-Verbünde wie Bitcoin kranken: Der Energieverbrauch steigt exponentiell mit der Anzahl der Teilnehmer im Verbund an. Wer nicht gerade über eine komplette Serverfarm mit potenten Grafikprozessoren verfügt, hat hier kaum eine Chance auf Profit.
Wer profitabel arbeiten will, benötigt neben schlagkräftiger Hardware auch einen günstigen oder idealerweise kostenfreien Zugang zu Elektrizität. Wer einerseits von der Kryptogeld-Entwicklung profitieren will, aber den damit verbundenen Aufwand und die Kosten scheut, versucht daher einfach, fremde Rechenkapazitäten für seine Zwecke zu nutzen. Man spricht hier von „Cryptojacking“ – einem Portmanteau aus „Cryptomining“ und „Hijacking“.
Mining-Software wird nicht nur ahnungslosen Internetnutzern zum Beispiel per Drive-by-Download oder als ein auf einer Webseite verstecktes Skript untergeschoben. Auch Rechenzentren und die Office-Infrastrukturen von Unternehmen werden durch verstecktes Mining beinahe im wörtlichen Sinne zu einer Goldmine. In einigen Forschungseinrichtungen, wie zum Beispiel im russischen Sarov, versuchten Mitarbeiter, die Rechenleistung des einrichtungseigenen Supercomputers für diese Zwecke einzusetzen. Es sollte jedoch bei dem Versuch bleiben, denn die Angestellten wurden erwischt und verhaftet. Einige Universitäten in den Vereinigten Staaten verbieten mittlerweile explizit das Cryptomining in Wohnheimen.
Verbrechen ohne Opfer?
Abgesehen von der Tatsache, dass das unbemerkte Unterschieben von Mining-Software sich nicht von der Vorgehensweise anderer Schadsoftware unterscheidet, sieht Cryptojacking auf den ersten Blick aus wie ein „Verbrechen ohne Opfer“. Dabei werden weder persönliche Daten gestohlen noch wird etwas beschädigt oder gelöscht oder der Anwender erpresst.
Ein Schaden entsteht trotzdem, denn das Schürfen von virtuellen Währungen ist im Prinzip nichts anderes als das Umwandeln von Strom in Geld. Und Strom ist – laut § 248 des deutschen Strafgesetzbuches – etwas, das gestohlen werden kann. Und die Rechnung für den Strom, den ein Cryptojacker verbraucht, zahlt das Opfer.
Schafft es ein Cryptojacker sogar, einen angemieteten Cloudserver zu kompromittieren, ist das Problem noch viel größer, da viele Cloudplattformen Ressourcen automatisch nach Belastung skalieren und entsprechend berechnen.
Kollateralschäden
Selbst wenn man all diese Faktoren ignoriert und die Energiekosten keine Rolle spielen, gibt es noch immer genug Gründe, Cryptojackern einen Riegel vorzuschieben: Denn Mining verursacht eine ganze Menge „Rauschen“ im Datenverkehr eines Netzwerks. Dieses Rauschen kann derart laut werden, dass man die wirklich wichtigen Dinge überhört. Dazu zählen zum Beispiel Anzeichen für einen ernsthaften Sicherheitsvorfall.
Auch die Reputation der firmeneigenen IP-Adresse(n) kann unter Cryptomining leiden – im schlimmsten Fall landet eine Firmen-IP auf einer Blacklist. Die Konsequenzen können dramatisch sein und reichen von „Mail-Server blockiert“ bis hin zu „Website nicht mehr erreichbar“.
Außerdem kann bei jeglicher Art des Drive-by-Downloads auch zusätzlicher „Ballast“ eingeschleppt werden: Bei einem Downloader, wie er für das Cryptojacking eingesetzt wird, ist die „Nutzlast“ austauschbar. Zudem vermieten einige Kriminelle die Rechenleistung des gekaperten Rechners an Dritte weiter – etwa, um sie für zahlreiche andere Aktivitäten zu missbrauchen, zum Beispiel Überlastangriffe (DoS).
Office-PCs im Visier
Wenn nur Server das Ziel von Cryptojacking wären, wäre es einfacher, der Bedrohung Herr zu werden. Problematisch sind die Massen von normalen Bürorechnern! Diese sind zwar isoliert betrachtet kein offensichtliches Ziel, da sie nicht über die beliebten Hochleistungs-Grafikchips verfügen. Hier hilft den Kriminellen jedoch die Masse: Kann man mehrere hundert oder gar mehrere tausend Rechner zu einem Mining-Verbund zusammenfassen, lohnt sich das Modell.
Dabei muss man nicht einmal etwas installieren: Das Mining lässt sich auch über den Browser abwickeln. Dazu muss ein findiger Angreifer lediglich auf einer Webseite ein Skript hinzufügen, das einen Coin-Miner enthält. Entsprechende Cryptojacking-Kits sind teilweise für weniger als 50 € auf entsprechenden Untergrundmärkten erhältlich. Der Miner arbeitet dann im Hintergrund und bremst unter Umständen das System aus – auch hier wieder mit unmittelbaren Auswirkungen auf das Tagesgeschäft.
Einige Browser-Erweiterungen bringen ebenfalls Cryptominer mit – manchmal ist das jedoch ausdrücklich erwünscht. Für diese Browser-Erweiterungen wird bisweilen sogar mit Aushängen auf Parkplätzen geworben. Auch einige Nachrichtenportale experimentieren mit Cryptomining als Alternative zu Werbebannern und Paywalls. Der wesentliche Unterschied besteht hier darin, dass der Anwender sich dort (mehr oder minder) bewusst dazu entscheidet, für den Zugang zu wertvollen Inhalten am Ende mit seiner Stromrechnung zu bezahlen.
Fazit
Generell ist man derzeit auf beiden Seiten des Gesetzes sehr experimentierfreudig und versucht sogar bereits, Mobilgeräte wie Smartphones für das Cryptomining nutzbar zu machen.
Vor den Risiken und Gefahren durch Cryptomining können sich Unternehmen durchaus schützen: Neben dem Malwareschutz, der in jedem Netzwerk ein Standard sein sollte, ermöglicht ein Netzwerk-Monitoring die Entdeckung verdächtiger Aktivitäten in der IT-Infrastruktur sowie ungewöhnlicher Lastspitzen, die auf Cryptomining-Aktivitäten hindeuten können. Die Installation von Browser-Erweiterungen bedarf ebenfalls einer sorgfältigen Überwachung. Sofern möglich, sollte man vor allem Javascript-Umgebungen auf gefährdeten Maschinen deaktivieren oder deinstallieren. Da viele Cryptojacking-Angriffe Scriptcode in Webseiten benötigen, kann man diese Art von Angriffen so wirksam verhindern. Auf Mobilgeräten ermöglicht ein Device-Management (MDM) die Kontrolle über installierte Apps – so lässt sich auch eine Mining-App schnell identifizieren und vom Gerät entfernen.
Tim Berghoff ist Security Evangelist bei der G DATA Software AG.