Company

Alarmierende Zunahme des Minings für Kryptowährungen an Hochschulen

Geschrieben von Chris Morales am 14.05.2018 07:33:43

Finden Sie mich auf:

Blog Post Alarming Surge in Crypto mining on College Campuses-733232-editedWährend 2017 noch Ransomware-Attacken wie NotPetya und WannaCry die Schlagzeilen beherrschten und den Angreifern eine Menge Geld einbrachten, nahm still und leise bereits das Krypto-Mining Fahrt auf – der Thronfolger der Ransomware, wenn es um opportunistische Verhaltensauffälligkeiten in IT-Netzen geht, mit denen Cyberkriminelle finanziellen Gewinn erzielen wollen.

Der unten wiedergegebene Reddit-Post zeigt recht anschaulich, in welchem Maße das Krypto-Mining für die Universitäten heute ein Problem darstellt. In einigen Fällen setzen geschäftstüchtige Studenten High-End-Computer fürs Mining ein, in anderen Fällen starten sie eine ganze Armee von Botnets zum selben Zweck.

Reddit-1

Die Universität hat entdeckt, dass ich in meinem Studentenwohnheim Krypto-Mining betreibe

Ich habe freien Zugang zur Stromversorgung hier an der ASU und habe mich für ein wenig Bitcoin-Mining mit Nice Hash entschieden. Das Mining läuft jetzt – mit zwei gtx1080ti – schon einen Monat lang problemlos, aber ich habe heute eine E-Mail bekommen, dass ich meine Mining-Hardware deinstallieren soll. Ich bin mir ziemlich sicher, dass sie es nicht an meiner Stromrechnung gemerkt haben, denn ich habe ein bisschen Mining auch mit meinem Laptop betrieben – und sie schreiben, ich hätte zwei Mining-Devices. Ich würde gern wissen, wie ich dieses Problem loswerde. Soll ich ein VPN benutzen? Oder gibt es einen anderen Weg, das Mining zu verbergen?

Wo ist das Krypto-Mining besonders verbreitet?

Als der Wert der Kryptowährungen wie Bitcoin, Ethereum und Monero immer weiter stieg, zeigte sich zugleich eine korrespondierende Zunahme an Computern in den Campusnetzen der Universitäten, die entweder von legitimen Anwendern direkt fürs Mining eingesetzt oder zum Zweck der Berechnung von Kryptowährungs-Hashes gekapert wurden. 

Eine von Vectra von August 2017 bis Januar 2018 durchgeführte Untersuchung der fünf Top-Branchen, in denen Anzeichen fürs Krypto-Mining auftraten, ergab für den Hochschulsektor Werte, die bei weitem höher lagen als diejenigen aus den vier anderen Bereichen zusammen.

Bitcoin top 5 industries-1

Warum gerade Universitäten?

Krypto-Mining verwandelt elektrischen Strom in finanziellen Gewinn – mithilfe von Rechenleistung. Dieses Modell in Gang zu bringen, erfordert allerdings hohe Investitionen – es sei denn, man kann auf eine kostenlose Stromversorgung zugreifen und auf viele Rechner-Ressourcen, die nur minimal gesichert sind. Aus diesem Grund betrachten Cryptojacker (Angreifer, die Computer zu Krypto-Mining-Zwecken kapern) große Studenten-Communities als idealen Nährboden.

Wirtschaftsunternehmen können strenge Sicherheitsmaßnahmen und -regeln durchsetzen, die dem Krypto-Mining vorbeugen. Diese geradezu luxuriöse Möglichkeit haben Universitäten nicht. Sie können ihre Studenten bestenfalls darüber aufklären, wie sie sich selbst und die Hochschule am besten schützen – etwa, indem sie Betriebssystem-Patches installieren. Außerdem können die Hochschulen für die Gefahren sensibilisieren, die von Phishing-E-Mails, verdächtigen Webseiten und Werbelinks ausgehen.

Studenten, die sich am Krypto-Mining beteiligen, verhalten sich einfach opportunistisch – sie wollen die Chancen nutzen, die der übers vergangene Jahr massiv gestiegene Wert der Kryptowährungen bietet. Der Bitcoin etwa erreichte im Januar 2018 den Spitzenwert von 19.000 US-Dollar (Quelle: Coinbase). Selbst beim aktuellen Wert von 9.000 US-Dollar pro Bitcoin stellt die Währung noch eine lukrative Verlockung dar.

Die Zahl der Computer in College-Campusumgebungen, die Kryptowährungs-Hashes bearbeiteten, stieg bereits an, bevor 2017 der Bitcoin einen Gegenwert von über 4000 US-Dollar erreichte. Die Grafiken unten zeigen, dass die Mining-Aktivitäten etwa 30 Tage vor der Wertsteigerung des Bitcoin zunahmen.

Die Fälle von Krypto-Mining nahmen zu, bevor der Preis seinen Spitzenwert erreichte

cryptocurrency mining

Selbst als der Wert des Bitcoin 50 Prozent seines Spitzenwerts verlor und unter 10.000 US-Dollar fiel, sank die Zahl der Krypto-Mining-Computer nicht.

Unglücklicherweise steht immer die Universität für Stromkosten und höhere Risiken gerade –gleich, ob in ihrem Netz ein Student in Eigenregie oder ein Angreifer vom Krypto-Mining zu profitieren versucht. Und anders als in der Vorstellung jenes Studenten, der das eingangs wiedergegebene Reddit-Posting verfasste, ist Elektrizität ja nicht wirklich kostenlos. 

Wo steckt überhaupt die Gefahr?

Mining für Kryptowährungen ist ein opportunistisches Angriffsverhalten, das Botnets dazu einsetzt, einen großen Pool an Rechenleistung bereitzustellen. Gewöhnlich schätzt man dieses Vorgehen eher als ein bloßes Ärgernis ein – vor allem im Vergleich zu gezielten Attacken, die personenbezogene Daten (PII), Patientendaten oder Finanzdaten (PHI) in Gefahr bringen. In einigen Fällen allerdings resultieren aus den Botnet-Aktivitäten sehr wohl hohe Risiken für betroffene Organisationen:

  • Die Vorgänge produzieren ein Grundrauschen, in dem ernstere Vorkommnisse untergehen;
  • sie können die Reputation der IP-Adresse einer Organisation schädigen und die Adresse auf „Blacklists“ (schwarze Listen) bringen;
  • Cyberkriminelle können sich den Zugriff auf die bereits kompromittierten Computer von Cryptojackern erkaufen und damit gezielte Attacken auf Hochschulen starten.

Es mag sein, dass von legitimen Anwendern bewusst eingesetzte Mining-Software lediglich ein geringes Risiko darstellt. Möglicherweise installieren dieselben Anwender aber auch andere Profit-orientierte Programme, die gefährlicher sind.

Krypto-Mining reißt fast die gesamte Rechenleistung eines Systems an sich. Deshalb unterliegen infizierte Computer, die permanent Kryptowährungs-Blöcke bearbeiten, einem schnelleren Verschleiß und laufen ungewöhnlich langsam.

Obwohl Krypto-Mining-Malware normalerweise nicht auf einzelne Computernutzer zielt, können Cyberkriminelle durchaus ausgewählte Systeme mit Hochleistungs-Grafikprozessoren (GPUs) oder mit entsprechenden Videokarten infizieren. Der Zugriff auf derartige Technik beschleunigt die Verarbeitung GPU-intensiver Hashes von Kryptowährungen wie Bitcoin enorm. “Gamer“ und andere Nutzer Grafik-intensiver Anwendungen stellen deshalb für Cryptojacker ein besonders attraktives Ziel dar.

Cryptojacking greift um sich

Der generelle Mangel an Computern mit High-End-GPUs ließ eine neue Variante des Diebstahls von Rechenleistung aufkommen, die auf ganz normale Prozessoren baut: „In-Browser Krypto-Mining“. Das Verfahren fällt ebenfalls unter „Cryptojacking“, aber es muss dazu kein Programm installiert werden – es reicht, dass ein Anwender eine Website besucht.

Picture1 (1)

Als „Coinhive“ im September 2017 zum ersten Mal auftauchte und den Cryptojacking-Wahnsinn in Gang brachte, wurde das Internet fast verrückt: Überall gingen plötzlich neue Krypto-„Miner“ an den Start. Websites mit ähnlichen Angeboten entstehen bis heute im Wochenrhythmus, um es den Minern zu ermöglichen, an der Produktion der „Monero“-Währung teilzunehmen.

Dabei mag es sein, dass ein wenig Monero-Mining im Hintergrund einer Website erträglicher erscheint, als sich aufdringliche Werbung ansehen zu müssen – aber kaum eines der Web-Angebote informiert den Anwender wirklich darüber, welche Aktivitäten genau es ausführt oder wie sich das Mining wieder stoppen lässt. Die meisten Varianten verhalten sich wie Malware, kapern den Computer heimlich und nutzen dessen Leistung, ohne um Erlaubnis zu fragen.

Was sind die Folgen?

Die Leistung im Krypto-Mining wird anhand der Zahl der Versuche gemessen, die ein Mining-Knoten unternimmt, um Blöcke zur Verarbeitung zu finden. Jeder dieser Versuche führt dazu, dass auf der Basis von SHA-256d, einem Crypto-Hash, dessen Performance in Hashes pro Sekunde gemessen wird (h/s), ein einzigartiger „Candidate Block“ und ein zugehöriger Digest erzeugt werden.

Seit September 2017 verbreitet sich In-Browser-Mining unaufhaltsam. Monero-Mining basiert auf Hash-Berechnungen mit einem Algorithmus namens „CryptoNight“. Dieser Algorithmus erfordert eine hohe Rechenleistung und ist trotzdem langsam, läuft dafür aber gut auf typischen Endanwender-CPUs.

CryptoNight kann auch GPUs nutzen, erzielt dabei aber nur eine Verdopplung der Leistung – und nicht etwa eine Steigerung um den Faktor 10.000, wie es bei anderen Algorithmen der Fall ist – etwa bei denen, die für die Währungen Bitcoin und Ethereum eingesetzt werden. Deshalb ist CryptoNight ein Fall für JavaScript und Browser, denn es ist vergleichsweise einfach, ein Script herzustellen, das mit einer großen Zahl an Systemen verteiltes Pool-Mining betreiben kann.

Wenn JavasScript fürs Mining eingesetzt wird, sinkt die Leistung, aber sie bleibt im akzeptablen Rahmen. Der Miner verwendet in diesem Fall WebAssembly und kann auf etwa 65 Prozent der Leitung zählen, die ein natives Mining-Setup erzielen würde. Eine Intel i7-CPU, eine der schnellsten Desktop-CPUs, kommt auf etwa 90 h/s, während ein nativer Miner bei 140 h/s liegt. CPU-gestütztes Mining reicht für Botnets somit aus.

Einem Monero-Performance-Rechner zufolge ergibt eine Rate von 90 h/s bei 812 Geräten im 24*7-Betrieb folgende Gesamtleistung:

monero performance calculator

Die wichtigsten Schlussfolgerungen

Cryptojacking und Krypto-Mining sind Beispiele für profitable, opportunistische Unternehmungen. Sie werden wahrscheinlich immer häufiger auftreten und Ransomware sowie Adware als De-Facto-Methode derjenigen Akteure ablösen, die schnelles Geld machen wollen.

Wenn Sie mehr über andere Formen von Cyber-Attacken erfahren möchten, die in echten Cloud-, Rechenzentrums- und Unternehmensumgebungen derzeit auftreten, lesen Sie die RSA-Konferenz-Edition des Attacker Behavior Industrie Reports 2018 von Vectra.

 

Themen: cryptocurrency, crypto, Hochschulen, bitcoin, Krypto-Mining, Kryptowährungen