Kryptomining auf diesen Servern ist ein teurer Spaß, zumindest für den Betreiber (Symbolbild)
Kryptomining auf diesen Servern ist ein teurer Spaß, zumindest für den Betreiber (Symbolbild)
Bildquelle: scanrail, Lizenz

Kryptomining: Mit kostenlosen Cloud-Zugängen zur ersten Million

Vorbeugende Maßnahmen der Cloud-Anbieter gegen Kryptomining wussten Angreifer im Rahmen der Kampagne "Purple Urchin" geschickt zu umgehen.

Die Kryptomining-Kampagne Purple Urchin hat es auf kostenlose Testzugänge von Cloud-Anbietern abgesehen. Durch einen hohen Grad der Automatisierung nutzten Angreifer die freie Rechenkapazität strategisch aus, um Kryptowährungen zu schürfen. Neben GitHub sind auch Heroku und Buddy betroffen.

Kostenloses Kryptomining in der Cloud: Ein sehr verlockendes Angebot

Sicherheitsforscher von Sysdig haben eine neue Kryptomining-Kampagne aufgedeckt, die kostenlose Test-Zugänge von Cloud-Anbietern missbraucht, um auf deren Server-Infrastruktur Kryptowährungen zu schürfen. Dabei nutzten die Cyberkriminellen 30 Zugänge von GitHub, 2000 von Heroku und weitere 900 von Buddy. Zwar kam es immer wieder zu Sperrungen der eingesetzten Konten, doch wussten die Gauner diese zu umgehen.

Im Rahmen der „Purple Urchin“ (purpurner Schmutzfink) genannten Kryptomining-Operation haben es die Angreifer geschafft, die Account-Erstellung innerhalb der Testumgebungen zu automatisieren. Laut einem Bericht von Heise unterbinden die Cloud-Anbieter so einen Vorgang normalerweise durch CAPTCHAs oder durch Abfrage gültiger Kreditkartendaten. Außerdem stehen Testern nur sehr begrenzte Ressourcen zur Verfügung, um einem Missbrauch vorzubeugen.

Alles nur ein Testlauf oder doch schon ein Angriff?

Da es die Angreifer ganz offensichtlich auf Geld abgesehen haben, ist eine Automatisierung ziemlich naheliegend. Denn wann bekommt man schon mal kostenlose Rechenkapazitäten für Kryptomining spendiert?! Durch einen zentralen Command-and-Control-Server (C2) behielten die Gauner schließlich die Kontrolle über die vielen schürfenden Instanzen, wie aus dem Bericht von Sysdig hervorgeht.

Bisher schürften die Angreifer nur Kryptowährungen mit geringen Gewinnmargen. Daher ist denkbar, dass dies lediglich ein Testlauf war, um die aufgebaute Infrastruktur später noch gewinnbringender einzusetzen. Ebenso spekulieren die Forscher über einen möglichen Angriff auf die zugrunde liegende Blockchain, indem die eingenommenen Kapazitäten mehr als 51 % der Rechenleistung für das Kryptomining bereitstellen. Infolgedessen könnten die Cyberkriminellen beliebige Transaktionen validieren und sich selbst die Wallets „vollmachen„.

Kryptomining: Missbrauchte Konten kommen und gehen

Um nicht aufzufallen, gingen die Gauner offenbar sehr behutsam vor.

„Von den mehr als 130 Abbildern werden jeweils nur zwei bis sechs Abbilder zur selben Zeit aktualisiert, wobei die meisten von ihnen seit der Erstellung des Kontos im April 2022 nicht mehr aktualisiert wurden.

Diese Batch-Update-Methode könnte verhindern, dass Docker Hub ihre Aktivitäten blockiert oder scannt.“

Sysdig

Die GitHub-Repositorys nutzten die Angreifer scheinbar immer nur ein bis zwei Tage nach ihrer Erstellung. Einige von ihnen, die GitHub-Actions erzeugten, sollen sogar wieder verschwunden sein. Die Forscher schlussfolgerten daraus, dass GitHub die Accounts entweder gelöscht hat oder dass die Gauner die Konten selbst wieder entfernten, nachdem diese ihr monatliches Freikontingent von 2.000 Minuten (33 Stunden) Laufzeit ausgeschöpft hatten.

In ihrem Bericht führen die Forscher sämtliche entdeckte GitHub-Konten, Wallets sowie IP-Adressen der im Rahmen der Kryptomining-Operation verwendeten C2-Server auf. Traurig nur, dass den Cloud-Anbietern durch solche Aktionen weitaus mehr Kosten entstehen, als die Angreifer damit überhaupt einnehmen. Ein Bankraub wäre vermutlich ein effizienterer Weg, um an Geld zu kommen.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.