Android-basierte Geräte Ziel von Krypto Mining Botnet

So können Angreifer DDoS-Angriffe (Distributed Denial-of-Service) starten, die aktiven Sitzungen eines Benutzers  protokollieren und persönliche Daten vom infizierten Gerät stehlen. Ferner können die Angreifer dann auch Spam verteilen und auf andere Systeme im Netzwerk des Ziels zugreifen. Ziel ist die weitere Ausbreitung durch das Hinzufügen weiterer Maschinen zum Roboternetzwerk, die der Bedrohungsakteur von einem Befehls- und Steuerungsserver aus steuern kann. Aus diesem Grund wird ein Botnet auch als „Zombie-Armee“ bezeichnet. Jindrich Karasek, ein Cyber-Bedrohungsforscher des Cybersecurity-Unternehmens Trend Micro, hatte den ganzen August über eine auf Kryptowährungs-Mining ausgerichtete Malware-Aktivität überwacht und anschließend seine Ergebnisse mit BeInCrypto geteilt. Nach dem Einrichten einer Honeypot-Umgebung, die es Karasek ermöglichte, mit Android verbundene Geräte zu simulieren, unternahm ein unbekannter Bedrohungsakteur mehrere Versuche anzugreifen, um vermutlich ein illegales Krypto-Mining-Botnet zu installieren.

Android-Geräte häufig ungeschützt

Laut dem Forscher scheinen einige Cyberkriminelle ihren Fokus vom Einbruch in Computersysteme auf den Zugang zu Android-basierten Geräten wie Telefone, Tablets und Smart-TVs verlagert zu haben. Dies ist keine Überraschung, da das gesamte Privatleben der Menschen auf ihre intelligenten Geräte beschränkt ist. Der Grund für diesen Schritt könnte sein, dass die Geräte weitgehend ungeschützt bleiben, da häufig kein Virenschutz vorhanden ist, wodurch sie anfälliger sind. Aus diesem Grund kann die Malware die Geräte angreifen, indem sie nach offenen ADB-Ports (Android Debug Bridge) sucht. Ferner verbreitet sich die Malware, indem sie die Secure Socket Shell (SSH) nutzt. Dies ist ein kryptografisches Netzwerkprotokoll für die Bereitstellung einer sicheren Remote-Anmeldung, auch über ungesicherte Netzwerke. Möglich ist das, weil für offene ADB-Ports standardmäßig keine Authentifizierungsschlüssel erforderlich sind. Dies ähnelt den Verbreitungsfunktionen des Satori-Botnetes – auch bekannt als „Masuta“, einer Variante des Mirai-Botnetes -, das im vergangenen Jahr und im Juni Schlagzeilen machte. In diesem Jahr wurden mehrere Botnetbetreiber verhaftet, weil sie Hunderttausende anfälliger WLAN-Router und andere mit dem Internet der Dinge (IoT) verbundene Geräte infiziert hatten.

Eine vielseitige Cryptojacking-Malware für unterwegs

Cryptojacking-Malware ist seit Jahren auf dem Markt. Sie findet einen Weg, in die Netzwerkgeräte von Menschen einzudringen, vergräbt sich im System, beginnt dann, Ressourcen zu stehlen und sammelt Krypto auf illegale Weise. In den ersten sechs Monaten des Jahres 2019 haben Cyberkriminelle Berichten zufolge 52,7 Millionen Cryptojacking-Angriffe durchgeführt. Karasek beschreibt das Vorgehen eines Crypto-Mining-Botnets. Diese versuchen in verschiedene IoT- und Mobile-Chip-Architekturen wie ARM-Architekturen, x86, m68k, mips, msp, ppc und sh4 einzudringen. Laut dem Forscher suchte die IP-Adresse des Bedrohungsakteurs im Internet nach offenen ADB-Ports von Android-Geräten. Wie bei allen Minern verwendet auch das Angreifersystem eine Ausweichtechnik, die die Rechenleistung des Android-Geräts verringert und die Systemressourcen neu konfiguriert, um effizienter zu arbeiten und die eigene Existenz sicherzustellen, indem sie so unauffällig wie möglich bleibt.

Vorsicht vor öffentlichen Zugangspunkten

Er erläuterte, dass die Sicherheit von Android-Geräten normalerweise nicht so eingerichtet ist, dass ein Bedrohungsakteur über das Netzwerk von Gerät zu Gerät springen kann. Die ideale Verbreitungsmethode wäre jedoch ein öffentlicher drahtloser Zugangspunkt. Karasek fuhr fort:

Stellen Sie sich einen Flughafen, einen riesigen Konferenzraum oder ein Einkaufszentrum vor. Möglicherweise sind viele Android-basierte Displays, Fernseher [und andere Geräte] zur besseren Verwaltung über das Netzwerk verbunden. Oder ältere Android-Geräte, die ohne Schutz mit dem Netzwerk verbunden sind.

Während er mit den Erzählungen fortfährt, bemerkte Karasek, dass der Botnet-Quellcode sehr einfach und generisch geschrieben wurde. Das bedeutet, dass er keine eindeutigen Merkmale aufweist, die häufig von Code-Autoren auftreten, die einen eigenen Stil entwickeln. Ganz ähnlich wie bei Literatur berühmter Autoren, wo immer ein bestimmter Teil der Persönlichkeit mitschwingt, die für den individuellen Schreibstil verantwortlich ist. Karasek sagte:

Ein Teil dieser Logik sehen wir bei der Outlaw-Gruppe. Aber tatsächlich können sie den Code auch für die Verwendung durch Skriptkinder freigeben. Angriffe wie dieser sind eher mit einem hohen Maß an Vertrauen in Cyberkriminalität als in APT-bezogene Aktivitäten verbunden. Meistens waren sie hinter Monero, Litecoin und Bitcoin her.

Die Botnet-Aktivität ist laut Karasek nicht länderspezifisch:

Meine erfahrungsbasierte Schätzung ist, dass der Gewinn nicht mehr als Tausende von Dollar beträgt. Mining wie dieses ist nicht mehr sehr effektiv. Doch genug, um eine kleine Gruppe von Betreibern zu unterstützen, aber nicht genug, um Gewinn für eine große Organisation zu generieren.

Monero im Fokus

Monero (XMR) machte Anfang dieses Jahres Schlagzeilen, was zum Teil auf die Einführung eines neuen Cryptojacking-Botnetes zurückzuführen ist. Forschern des Cisco Talos nannten es „Prometei“. Im Jahr 2018 brach ein Crypto-Miner-Botnet namens Smoninru in eine halbe Million Computergeräte ein, übernahm das Kommando über die Geräte und zwang sie fast 9.000 Monero-Coins abzubauen. Den Besitzern der Geräte war nicht bekannt, dass ihre Geräte kompromittiert wurden. Laut einer Studie, die von akademischen Forschern in Spanien und im Vereinigten Königreich veröffentlicht wurde, war Monero ab 2019 die bevorzugte Kryptowährung unter Cyberkriminellen in Untergrundaktivitäten. Zu diesem Zeitpunkt wurden über 4% aller im Umlauf befindlichen XMR durch Botnets und Cyberkriminelle abgebaut, wobei XMR im Wert von 57 Mio. USD von Kriminellen ausgezahlt wurden.

Supercomputer sind ebenfalls ein attraktives Ziel

Smartphones, Tablets, Smart-TVs und PCs sind nicht die einzigen Geräte, nach denen Bedrohungsakteure suchen, um ihre Cryptojacking-Programme zu übertragen. Wenn Geschwindigkeit beim Crypto Mining von entscheidender Bedeutung ist, sind die Computer mit der höchsten Leistung ein naheliegendes Angriffsziel. Heutzutage sollte es nicht überraschen, dass Bedrohungsakteure auf Supercomputer abzielen, die die schnellsten Berechnungen der Welt durchführen. Im herkömmlichen Sinne werden Supercomputer normalerweise verwendet, um wissenschaftliche Berechnungen tausende Male schneller durchzuführen als herkömmliche PCs. Daher sind Supercomputer für einen illegalen Krypto-Miner ganz offensichtlich ein ideales Ziel, um von ihrer extremen Rechenleistung zu profitieren. Beispielsweise messen wir die Leistungsgeschwindigkeit eines Supercomputers normalerweise in Gleitkommaoperationen pro Sekunde. Diese nennen wir „FLOPS“. Nehmen wir zum Beispiel den schnellsten Supercomputer der Welt, The Titan, den Cray Titan-Supercomputer des Oak Ridge National Laboratory in Tennessee, der 27.000 Billionen Berechnungen pro Sekunde durchführen kann – das ist eine theoretische Spitze Geschwindigkeit von 27 Petaflops.

Angriffe auf Hochleistungs-Computerlabors

Wie berichtet, scheinen Opfer in den USA, Kanada, China, Teilen Europas, Großbritannien, Deutschland und Spanien das Ziel einer Reihe von Crypto-Mining-Botnet-Angriffen gegen Hochleistungs-Computerlabors gewesen zu sein. Sicherheitsexperten, die die Eingriffe untersuchten, gaben an, dass an all diesen Vorfällen anscheinend die Bedrohungsakteure beteiligt waren, die gestohlene SSH-Anmeldeinformationen von autorisierten Benutzern verwendet haben, darunter Forscher an Universitäten und deren Kollegen. Die Forscher führten Tests auf ihren Systemen durch, um festzustellen, ob sie die Malware erkennen konnten, indem sie einen bekannten, harmlosen Code mit einem bösartigen Bitcoin-Mining-Skript verglichen. Im Gegenzug konnten sie feststellen, dass ihre Systeme den Schadcode unverzüglich identifizieren konnten, was sich als zuverlässiger als bei herkömmlichen Tests erwies. Die Eingriffe in die Supercomputer führten dazu, dass sie heruntergefahren werden mussten, damit die Angriffe untersucht werden konnten. Wenn Sie die Supercomputer offline schalten, können forensische Ermittler den Schadcode isolieren und so den Bedrohungsakteur effektiv daran hindern, Befehle an die infizierten Computer zu senden oder Beweise für das Eindringen zu löschen. Man könnte annehmen, dass die Cyberkriminellen die Oberhand gewinnen. Nichts könnte jedoch weiter von der Wahrheit entfernt sein. Die Angegriffenen wehren sich allerdings zunehmend. Zum Beispiel konnten Informatiker des Los Alamos National Laboratory im vergangenen Monat ein neues hochmodernes System für künstliche Intelligenz (KI) entwickeln, mit dem möglicherweise Malware identifiziert werden kann. Diese soll dann die Supercomputer nach dahingehenden Hinweisen durchsuchen. Gopinath Chennupati, ein Forscher am Los Alamos National Laboratory, sagte:

Aufgrund der jüngsten Computereinbrüche in Europa und anderswo wird diese Art von Software-Watchdog bald von entscheidender Bedeutung sein. So möchten wir verhindern, dass Krypto-Miner in Hochleistungs-Computereinrichtungen eindringen und wertvolle Computerressourcen stehlen. Wir haben Deep-Learning-Modell für künstliche Intelligenz entwickelt. Ziel ist es den missbräuchlichen Einsatz von Supercomputern speziell für den Zweck des Kypto-Mining zu erkennen.

Suche nach neuen Wegen: Angriff und Schutz

Die Meinungen darüber, wie sicher Android-basierte Geräte sind, sind geteilt. Milliarden von Menschen verwenden Android-Smartphones oder -Tablets, die nicht mit der neuesten Firmware oder den neuesten Sicherheitspatches und -updates ausgestattet sind. Hinzu kommen Android-Benutzer, die obligatorische Updates vorzugsweise verzögern, sodass die Geräte weniger gut geschützt sind. Zwischen persönlichen Fotos, Nachrichten, gespeicherten Passwörtern und elektronischen Wallets, die zu wichtigen Elementen geworden sind, die es Benutzern ermöglichen, sozial und wirtschaftlich zu interagieren. Wenn ein unbekannter Bedrohungsakteur einbricht und Zugang zu dieser Art von „digitaler Privatsphäre“ erhält, empfinden die Opfer dies als ultimative Verletzung. Kommt dann noch der Diebstahl der Arbeitslöhne hinzu, sind die Auswirkungen sind auf persönlicher Ebene katastrophal. Auf der anderen Seite untersuchen Sicherheitsforscher, wie sie die intelligenten Geräte und Supercomputer schützen können. Sie entwickeln innovative Implementierungen, den Kampf gegen die Cyberkriminellen zu gewinnen.   Auf Englisch geschrieben von Jesse McGraw, übersetzt von Alexandra Kons.