Die Kryptowährung Bitcoin ist für ihre Anhänger die Währung der Zukunft. Ein Argument, das immer wieder ins Feld geführt wird, ist die Sicherheit, da ihre Verschlüsselung vermeintlich nicht gehackt werden kann. Das hält Cyberkriminelle jedoch nicht davon ab, es trotzdem zu versuchen. Dafür übernehmen sie Server, um mit deren Rechenpower Entschlüsselungssoftware auszuführen.
Zu diesem Schluss kamen Sicherheitsanalysten von AquaSec bei der Beobachtung ihrer Honeypots. Dabei handelt es sich um simulierte Computersysteme, die Hackern ein lohnenswertes Ziel vorgaukeln. Greifen die Hacker an, können die Sicherheitsexperten auf diese Art ohne Risiko deren Vorgehen analysieren und Strategien entwickeln, um die Attacken abzuwehren. Angriffe auf diese Attrappen zeigten bereits seit September vermehrt Anzeichen, dass die eigentlich als aufgelöst geltende Hackergruppe TeamTNT wieder aktiv sein könnte.
Besonders interessant dabei ist, dass die Hacker neben zwei anderen Angriffstypen auch eine neue Art einsetzen. Beim sogenannten Kangaroo-Angriff (so genannt, da der Pollard Kangaroo WIF Solver genutzt wird) scannen die Kriminellen das Netz auf anfällige Docker-Daemons, stellen dann ein AlpineOS-Image bereit und legen ein Script auf dem angegriffenen System ab. Dieses ruft dann letztendlich den Solver von GitHub ab, der speziell dafür programmiert ist, die SECP256K1-Verschlüsselung zu knacken, die in der Public-Key-Kryptografie von Bitcoin verwendet wird. Dafür wird die Verschlüsselung in mehrere Blöcke zerlegt und auf mehrere Server zur Entschlüsselung verteilt. Die Ergebnisse werden dann in Form lokal gespeicherter Textdateien wieder eingesammelt.
Wie erfolgversprechend dieses Vorgehen ist, muss sich zeigen, denn derzeit ist die vorherrschende Meinung, dass die Verschlüsselung von Bitcoin mit den existierenden Methoden nicht geknackt werden kann. Erst Quantencomputer könnten daran etwas ändern. Doch diese Einschätzung hindert die Hacker von TeamTNT nicht daran, es trotzdem zu versuchen und dafür Ressourcen einzusetzen, die sie vorher unter ihre Kontrolle gebracht haben. Möglich ist auch, dass die Hacker lediglich mit neuen Angriffsvektoren und -arten experimentieren, oder neue Wege testen, sich in den Systemen ihrer Opfer zu verstecken.
Neben dieser neuen, vermutlich wenig erfolgreichen Angriffstaktik, nutzt TeamTNT zwei weitere, bereits bekannte Vorgehensweisen, die sie aber um einige Neuerungen ergänzt haben. Der Cronb-Angriff verwendet dokumentierte Rootkits, versteckt sich per Cron-Job in den Systemen und führt dort Cryptominer aus. Zusätzlich gibt es Tools, um sich weiter in den Systemen auszubreiten. Neu hinzugekommen sind C2- Infrastrukturadressen sowie ein aufwändigerer Datenaustausch. Die „What will be“-Attacke zielt auf Docker-Daemons mit Shell-Dateien ab, die Alpine-Images erneut löschen. Dabei wird eine Schwachstelle ausgenutzt, um aus der abgesicherten Umgebung auf den Host überzugreifen. Anschließend laden die Eindringlinge zusätzliche Skripte und Rootkits sowie einen Cryptominer herunter und führen diese aus, während sie außerdem Cron-Jobs hinzufügen und SSH-Scans im Netzwerk durchführen. Bei dieser Angriffsart neu hinzugekommen ist eine Funktion, die es den Hackern erlaubt, die Performance beim Cryptomining zu optimieren.
Ob es sich bei dieser neuen Angriffswelle tatsächlich um die wiederauferstandenen Hacker von TeamTNT oder um eine andere Gruppierung handelt, die sich der Methoden ihrer Vorgänger bedient, ist noch nicht vollständig geklärt. Betreiber von leistungsstarken und damit interessanten Servern sollten jedenfalls ihre Sicherheitsvorkehrungen verstärken. Insbesondere die Docker-Konfiguration sollte gestärkt und alle verfügbaren Sicherheitsupdates eingespielt werden, um den Kriminellen keine Einfallstore zu bieten.
Zu diesem Schluss kamen Sicherheitsanalysten von AquaSec bei der Beobachtung ihrer Honeypots. Dabei handelt es sich um simulierte Computersysteme, die Hackern ein lohnenswertes Ziel vorgaukeln. Greifen die Hacker an, können die Sicherheitsexperten auf diese Art ohne Risiko deren Vorgehen analysieren und Strategien entwickeln, um die Attacken abzuwehren. Angriffe auf diese Attrappen zeigten bereits seit September vermehrt Anzeichen, dass die eigentlich als aufgelöst geltende Hackergruppe TeamTNT wieder aktiv sein könnte.
Besonders interessant dabei ist, dass die Hacker neben zwei anderen Angriffstypen auch eine neue Art einsetzen. Beim sogenannten Kangaroo-Angriff (so genannt, da der Pollard Kangaroo WIF Solver genutzt wird) scannen die Kriminellen das Netz auf anfällige Docker-Daemons, stellen dann ein AlpineOS-Image bereit und legen ein Script auf dem angegriffenen System ab. Dieses ruft dann letztendlich den Solver von GitHub ab, der speziell dafür programmiert ist, die SECP256K1-Verschlüsselung zu knacken, die in der Public-Key-Kryptografie von Bitcoin verwendet wird. Dafür wird die Verschlüsselung in mehrere Blöcke zerlegt und auf mehrere Server zur Entschlüsselung verteilt. Die Ergebnisse werden dann in Form lokal gespeicherter Textdateien wieder eingesammelt.
Wie erfolgversprechend dieses Vorgehen ist, muss sich zeigen, denn derzeit ist die vorherrschende Meinung, dass die Verschlüsselung von Bitcoin mit den existierenden Methoden nicht geknackt werden kann. Erst Quantencomputer könnten daran etwas ändern. Doch diese Einschätzung hindert die Hacker von TeamTNT nicht daran, es trotzdem zu versuchen und dafür Ressourcen einzusetzen, die sie vorher unter ihre Kontrolle gebracht haben. Möglich ist auch, dass die Hacker lediglich mit neuen Angriffsvektoren und -arten experimentieren, oder neue Wege testen, sich in den Systemen ihrer Opfer zu verstecken.
Neben dieser neuen, vermutlich wenig erfolgreichen Angriffstaktik, nutzt TeamTNT zwei weitere, bereits bekannte Vorgehensweisen, die sie aber um einige Neuerungen ergänzt haben. Der Cronb-Angriff verwendet dokumentierte Rootkits, versteckt sich per Cron-Job in den Systemen und führt dort Cryptominer aus. Zusätzlich gibt es Tools, um sich weiter in den Systemen auszubreiten. Neu hinzugekommen sind C2- Infrastrukturadressen sowie ein aufwändigerer Datenaustausch. Die „What will be“-Attacke zielt auf Docker-Daemons mit Shell-Dateien ab, die Alpine-Images erneut löschen. Dabei wird eine Schwachstelle ausgenutzt, um aus der abgesicherten Umgebung auf den Host überzugreifen. Anschließend laden die Eindringlinge zusätzliche Skripte und Rootkits sowie einen Cryptominer herunter und führen diese aus, während sie außerdem Cron-Jobs hinzufügen und SSH-Scans im Netzwerk durchführen. Bei dieser Angriffsart neu hinzugekommen ist eine Funktion, die es den Hackern erlaubt, die Performance beim Cryptomining zu optimieren.
Ob es sich bei dieser neuen Angriffswelle tatsächlich um die wiederauferstandenen Hacker von TeamTNT oder um eine andere Gruppierung handelt, die sich der Methoden ihrer Vorgänger bedient, ist noch nicht vollständig geklärt. Betreiber von leistungsstarken und damit interessanten Servern sollten jedenfalls ihre Sicherheitsvorkehrungen verstärken. Insbesondere die Docker-Konfiguration sollte gestärkt und alle verfügbaren Sicherheitsupdates eingespielt werden, um den Kriminellen keine Einfallstore zu bieten.
