Neue Forschungsergebnisse von Symantec zum Crypto-Mining zeigen, dass bösartiges Browser-basiertes Mining von Kryptowährungen – also das Ausnutzen von Rechnerkapazitäten eines Website-Besuchers ohne dessen Wissen – über die letzten Monate stark angestiegen ist. Mit den explodierenden Bitcoin-Kursen steigt auch das Interesse krimineller Gruppen, sich unberechtigt Zugang zur Währung und den Transaktionsplätzen zu verschaffen, um das Geld zu stehlen. Security-Spezialist Proofpoint hat hier die Rolle der Lazarus Group untersucht, einer Cybercrime-Gruppe, hinter der die Proofpoint-Forscher wie auch andere Fachleute Nordkorea vermuten.

Nach mehreren Jahren Ruhe, so Symantec, scheint das zunehmende Crypto-Mining durch die Einführung eines neuen, Browser-basierten Mining-Dienstes durch Coinhive im September wieder an Fahrt gewonnen zu haben. Den Anstieg dieser Aktivitäten führt der US-Security-Anbieter auf die Verfügbarkeit von Coins zurück, die mithilfe haushaltsüblicher Hardware und leicht verwendbarer JavaScript-APIs geschürft werden können. Davon seien viele bekannte Websites betroffen.

Auch mobile Geräte bleiben vom Crypto-Mining nicht verschont: Die Anzahl an Apps, die Code zum Schürfen von Kryptowährungen enthalten, ist laut dem Symantec-Report um 34 Prozent angestiegen. Weitere Informationen dazu finden sich unter www.symantec.com/blogs/threat-intelligence/browser-mining-cryptocurrency.

Auch Security-Spezialist Proofpoint hat sich intensiv mit der Kryptowährungsproblematik auseinandergesetzt. Proofpoint-Forscher haben dabei festgestellt, dass die Lazarus Group intensiv an Diebstählen digitaler Geldbestände arbeitet. Die Angreifergruppe wird laut Security-Fachleuten höchstwahrscheinlich von nordkoreanischen Behörden finanziert und unterstützt. Ihr wird der Angriff auf Sony und auf die Zentralbank von Bangladesch von 2014 zugeordnet, möglicherweise steckt sie zudem hinter dem WannaCry-Angriff in diesem Jahr.

Die Proofpoint-Forscher haben eine Reihe mehrstufiger Angriffe identifiziert, bei denen kryptowährungsbezogene Köder zum Einsatz kommen, um Opfer per Backdoor mit Spionage-Malware zu infizieren (siehe Illustration oben). Nach der ersten Infektion werden die Rechner der Opfer mit zusätzlicher Schadsoftware infiltriert (zum Beispiel Gh0st RAT), um Anmeldeinformationen zu stehlen. Diese Informationen nutzt die Lazarus-Gruppe dann, um Bitcoins oder andere Kryptowährungen der Nutzer zu stehlen.

Die eindeutige Zuordnung eines Angriffs zu einem bestimmten Angreifer – unter Sicherheitsforschern „Attribution“ genannt – ist sehr schwierig, da kompetente Angreifer ihre Spuren hochgradig verschleiern. So sind sie praktisch nur über wiederkehrende Codebausteine oder sich wiederholende Angriffsmuster zu identifizieren. Proofpoint erläutert in einem Whitepaper detailliert, wie sich die Cybercrime-Aktivitäten mit hoher Sicherheit der Lazarus-Gruppe zuordnen lassen. Details finden sich unter www.proofpoint.com/us/threat-insight/post/north-korea-bitten-bitcoin-bug-financially-motivated-campaigns-reveal-new.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.