Exploit ermöglichte Bitcoin-Diebstahl aus Mining-Pool

Dells Sicherheitsabteilung Secureworks Counter Threat Unit (CTU) berichtet von einem von ihr entdeckten Exploit, mit dem sich Kryptowährung aus Mining-Pools stehlen lässt. Zumindest ein Hacker hat die Schwachstelle bereits genutzt, um im Lauf von vier Monaten an virtuelle Währung im Wert von 83.000 Dollar zu kommen.

Den Forschern zufolge sandte er eine falsche Broadcast über das fürs Internet-Routing verwendete Border Gateway Protocol(BGP) aus, um Netzwerke in Service-Anbietern zu kompromittieren. Dies gelang ihm zwischen Februar und Mai 2014 bei einigen der bekanntesten, darunter Amazon, Digital Ocean und OHV. Insgesamt wurden mindestend 51 Netze von 19 unterschiedlichen ISPs kompromittiert, und mindestens einem Eindringling gelang es dort auch, die Verbindungen von Kryptowährungs-Minern zu entführen sowie in einen eigenen Mining-Pool umzuleiten.

Der Exploit stellte sicher, dass die Miner weiter nach Blocks suchen und damit neue Bitcoins und andere virtuelle Zahlungsmittel generieren konnten. Umgeleitete Server sorgten aber dafür, dass die Gewinne nicht bei den Minern, sondern bei den Eindringlingen landeten.

Bitcoin mit einem aktuellen Wert von 590 Dollar für 1 BTC stand zwar im Mittelpunkt des Raubzugs, war aber nicht die einzige betroffene Kryptowährung. „Der Eindringling entführte den Mining-Pool, sodass viele Kryptowährungen betroffen waren“, schreiben die Forscher. „Die genutzten Protokolle machen es unmöglich, die Währungen genau zu identifizieren. CTU konnte die Aktivitäten jedoch zu bestimmten Adressen zurückverfolgen.“

So kam Dell Secureworks etwa mit einem Miner ins Gespräch, der schätzte, im März auf diese Weise 8000 Dogecoin verloren zu haben – mit einem Gegenwert von 1,39 Dollar. Er konnte später eine Firewall-Regel aufstellen, die Verbindungen zum Mining-Server des unbekannten Hackers abblockte und ihm erlaubte, sein Mining ungestört fortzusetzen.

Die falschen Broadcasts konnten die Forscher letztlich zu einem einzelnen Router in Kanada zurückverfolgen. Der Kriminelle konnte nicht identifiziert werden, Secureworks vermutet aber, dass es sich um einen Mitarbeiter eines ISPs, einen ehemaligen Mitarbeiter im Besitz des seither nicht geänderten Router-Passworts oder einfach um einen Black-Hat-Hacker handelt. Der am engsten mit den Aktivitäten in Verbindung stehende ISP wurde informiert, drei Tage später stoppte die illegale Aktivität.

Obwohl jeden Tag der Gegenwert von geschätzten 2,6 Millionen Dollar an Kryptowährung durch Mining erzeugt werden, ist die Gefahr weiterer BGP-Angriffe laut den Sicherheitsforschern minimal: „BGP-Peering erfordert, dass beide Netze manuell konfiguriert und einander bekannt sind. Da Menschen an der Konfiguration beteiligt sind, ist BGP-Peering ziemlich sicher: ISPs werden ohne legitimen Grund kein Peering vornehmen. Diese Entführungen und Miner-Umleitungen wären ohne Peer-to-Broadcast-Routen nicht möglich gewesen.“

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de