Ausgefeilte Angriffe auf Bitcoin-Nutzer

Der Höhenflug der Krypto-Währung Bitcoin ruft nicht nur Spekulanten auf den Plan, sondern auch Cyber-Kriminelle. Dies verdeutlicht eine Reihe gut vorbereiteter Attacken auf die Bitcoin-Community. So war etwa das bekannteste Forum der Szene, Bitcointalk.org, offenbar Ziel eines professionellen Lauschangriffs. Bislang unbekannten Tätern soll es in der vergangenen Nacht gelungen sein, den Datenverkehr des Forums mitzuschneiden.

Man in the Middle

Nach Angaben eines Administrators positionierten die Angreifer einen Server als Man-in-the-Middle (MitM) zwischen dem Forum und seinen Nutzern. Demnach gelang es ihnen in der Nacht von Sonntag auf Montag, den DNS-Eintrag der Forendomain zu manipulieren. Dadurch wurden die Nutzer auf einen anderen Server geleitet, über den das Forum aber wie gewohnt erreichbar war. Auf dem zwischengeschalteten System konnten die Spione den Traffic des Forums im Klartext mitlesen und so möglicherweise persönliche Daten, private Nachrichten und Passwörter ergaunern.

Die Angreifer ließen sich sogar ein gültiges SSL-Zertifikat für bitcointalk.org ausstellen, um das Forum verschlüsselt via HTTPS ausliefern zu können. Da die Angreifer die Kontrolle über die Domain hatten, konnten sie sich offenbar gegenüber einer Zertifizierungsstelle glaubwürdig als Domaininhaber ausgeben. Oft genügt dafür, einen an die "admin"-Adresse der Domain gemailten Bestätigungslink anzuklicken.

Erhebliche finanzielle Schäden sind anscheinend Bitcoin-Nutzern entstanden, die ihr digitales Geld zum Handel mit Drogen im Tor-Netz nutzten. Laut einem Bericht des US-Magazins Forbes behaupten die Betreiber des Drogen-Handelsplatzes Sheep Market, dass ein Nutzer der Plattform über eine Sicherheitslücke Bitcoins im Gegenwert von rund 4 Millionen Euro (5400 BTC) erbeutet hat.

Millionen veruntreut

Kurz darauf verschwand der Markplatz aus dem Netz – und mit ihm offenbar auch einen nennenswerte Anzahl weiterer Bitcoins, die Nutzer zum Kauf von Rauschmitteln an das Treuhandkonto des Sheep Market überwiesen hatten. Mittlerweile ist eine Bitcoin-Adresse aufgefallen, die Transaktionen im Volumen von umgerechnet fast 30 Millionen Euro durchgeführt hat (fast 40.000 Bitcoins). Angeblich handelt es sich dabei um das veruntreute Krypto-Geld von dem Treuhand-Konto.

Ferner wurde erneut ein etablierter Mining-Pool angegriffen. Am gestrigen Montag vermeldeten die Betreiber des BitMinter-Pools, dass der Dienst unter Beschuss steht und daher instabil sei. In der Pool-Statistik kann man ablesen, dass der Pool seit vergangenem Freitag tatsächlich ungewöhnlich lange braucht, um neue Bitcoin-Blöcke zu knacken. Ablesen kann man dies an dem CDF-Wert. Je höher der Wert, desto länger musste der Pool an dem Block rechnen.

Die Hintergründe der drei Vorfälle sind derzeit noch nicht abschließend geklärt. (rei)