Der Diebstahl von Kryptowährungen ist keine Seltenheit. Auch Andrew Schober, wohnhaft in Colorado, war im Jahr 2018 davon betroffen. Diebe stahlen ihm 16,4552 Bitcoins aus seiner Wallet. Allerdings investierte Schober dann über 10.000 US-Dollar, um die Täter zu entlarven. Krypto-Experten verfolgten daraufhin die Spur zu zwei Minderjährigen in Großbritannien. Aktuell verklagt Schober deren Eltern, um sein Geld zurückzubekommen, berichtet Krebs on Security.
Andrew Schober investierte 95 Prozent seines Nettovermögens in digitale Token, wie Bitcoin. Er hoffte, diese zu einem späteren Zeitpunkt gewinnbringend zu vekaufen. Anschließend war ein Hauskauf geplant. Ferner wollte er den übrigen Erlös zur Unterstützung seiner Familie verwenden. Damals waren die Bitcoin bereits 220.000 US-Dollar wert. Aus heutiger Sicht verlor Schober mit dem Diebstahl ca. 794.000 US-Dollar.
Gemäß Schober hätten damals Benedict Thompson aus Hampshire, Großbritannien, und Oliver Read, aus West Yorkshire, Großbritannien, den Diebstahl als Minderjährige inszeniert. Thompson studiert jetzt Informatik an der University of Warwick und Read hat zuvor Informatik am Greenhead College in Großbritannien studiert. Angeblich hätte das Duo auf Reddit für Software, die Schadcode enthielt, eine angebliche Kryptowährungs-Wallet-App namens „Electrum Atom“, geworben. Schober dachte, es handele sich um ein legitimes Programm und hat es bei sich installiert.
Mutmaßliche Täter verwendeten Malware, um Gelder an ihre eigenen Bitcoin-Adressen zu senden
Als Schober infolge die 16,4 Bitcoins von einem Konto auf ein anderes transferieren wollte, indem er die lange Zahlungsadresse, die er gerade kopiert hatte, einfügte, ersetzte die Malware seine Bitcoin-Zahlungsadresse durch eine andere Adresse, die von den jungen Männern kontrolliert wurde. Die hier angewandte Methode gilt als Man-in-the-Middle-Angriff.
Die Experten stellten zudem fest, dass die Malware, sobald sie auf der Festplatte des Computers des Opfers installiert ist, nicht durch Deinstallation des Programms, in dem sie versteckt war, vom Computer des Opfers gelöscht werden kann. Die Malware bettet sich in die Java-Bibliothek auf dem Computer des Opfers ein.
Das geschieht völlig unabhängig davon, wo die heruntergeladene Datei ursprünglich gespeichert war. Ihre Existenz verbirgt sie mit einer Verschlüsselungstechnik, die die XOR-Zeichenfolgen der Malware verschleiert. In diesem Fall wurde die Funktion der Malware für die Copy-Paste-Daten einer Krypto-Wallet verwendet. Jedoch könnte man sie aber auch für alles andere in der Zwischenablage des Computers, wie Passwörter, verwenden.
Die Blockchain-Analyse deutete darauf hin, dass die beiden Hacker versucht haben, die Bitcoin in Monero, einer auf den Datenschutz ausgerichteten Kryptowährung, zu tauschen. Dafür brauchten sie jedoch den privaten Schlüssel, der zusammen mit dem öffentlichen Schlüssel für die Adresse der Malware verwendet wurde.
Ungefähr zur Zeit des Diebstahls stellte einer der jungen Männer, der ein GitHub-Konto unter seinem eigenen Namen benutzte, eine Frage auf GitHub, wie man diesen privaten Schlüssel erhalten kann. Dieses Konto enthielt sowohl GitHub-Repositories für die Malware als auch Code für ein Programm, das einen Handel an der Bitfinex-Börse ermöglichte. Genau dorthin hatten sich zwei Einzahlungen mit Schobers Bitcoins zurückverfolgen lassen. Dies führte Schober letztlich zu den mutmaßlichen Dieben.
Außergerichtliche Einigung schlug fehl
Schober versuchte nach Bekanntwerden der Täter die Sache zunächst außergerichtlich zu klären. Vor Einreichung der Klage hatte Schober sich an die Eltern der Diebe gewandt und sie per Brief gebeten, die Kryptowährung freiwillig zurückzugeben:
„Ihr Sohn hat anscheinend Malware verwendet, um online Geld von Leuten zu stehlen. Dieses Geld zu verlieren war finanziell und emotional verheerend. Er hätte vielleicht gedacht, er mache einen harmlosen Scherz, aber das hatte schwerwiegende Folgen für mein Leben.“
Schober fügte hinzu, dass er Beweise für die Schuld des Duos habe. Einschließlich GitHub-Aufzeichnungen und Repositories für Electrum Atom-Malware sowie eine forensische Analyse der Malware- und Bitcoin-Wallet, die, wie der Brief hinzufügte, „mehrere Diebstähle aufzeigt“.
Verjährungsfrage von Schobers Anwalt verneint
Schobers Forderung haben die Eltern mit Schweigen beantwortet, was ihn infolge dazu veranlasste, eine Klage im vergangenen Mai von seinen Anwälten einreichen zu lassen. Ohne zu bestreiten, dass der Diebstahl stattgefunden hat, behaupten die Anwälte der Angeklagten, dass der Fall einer zweijährigen Verjährungsfrist unterliege, die Schober daran hindere, den Fall weiterzuverfolgen. Allerdings konterte Schobers Anwalt, dass die Zeit nicht bereits mit dem Bitcoin-Diebstahl lief, sondern erst, als er von den Identitäten der mutmaßlichen Hacker erfuhr. Deshalb sei die Tat keineswegs verjährt.
BleepingComputer hat ein Video zusammengestellt, in dem erklärt wird, wie diese Malware funktioniert:
Allow YouTube content?
This page contains content provided by YouTube. Your consent is requested before loading the content, as it may use cookies and other technologies. You may want to read YouTube’s privacy policy and cookie policy before accepting.
