Mining im Browser: Crypto-Miner auf Regierungs-Websites schürfte Monero
In den letzten Tagen haben tausende Websites, unter anderem auch Regierungsseiten der britischen und US-amerikanischen Regierung, über den Browser ihrer Besucher ohne das Wissen beider Beteiligten die Kryptowährung Monero geschürft, da im Hintergrund ein Crypto-Miner geladen wurde.
Angreifern war es gelungen, den Crypto-Miner Coinhive in das Website-Skript Browsealoud des britischen Anbieters Texthelp einzuschleusen, das zum Vorlesen von Browserinhalten für Menschen mit schlechtem Sehvermögen genutzt wird. Insgesamt sollen rund 4.200 Websites von diesem versteckten Mining im Browserhintergrund betroffen gewesen sein. Auch die Websites des britischen Gesundheitssystems NHS, der Datenschutzbehörde ICO und des Gerichtssystems der US-Regierung sowie zahlreiche Universitäten sowie Behörden aus Großbritannien, den USA, Schweden und Australien waren betroffen. Auch in Deutschland soll eine infiltrierte Version des Plug-ins auf wenigen Seiten eingesetzt worden sein.
Ursache und Herkunft noch unbekannt
Noch nicht bekannt ist, wie es den Angreifern gelungen ist, den Miner in Browsealoud einzuschleusen. Der Crypto-Miner wurde dabei auch dann ausgeführt, wenn der Dienst von Browsealoud selbst gar nicht genutzt wurde. So wurde auf jedem System eines Website-Besuchers im Hintergrund die Kryptowährung Monero geschürft.
Dem Krypto-Miner im Plug-in ist der britische Sicherheitsexperte Scott Helme auf die Spur gekommen. Texthelp, der Entwickler des Plug-ins, bestätigte, dass der Code wahrscheinlich in der Nacht zu Sonntag eingeschleust und gegen 18 Uhr von Texthelp wieder entfernt wurde. Man werde den Vorfall nun genau untersuchen und prüfen, wie es dazu kommen konnte. Automatische Sicherheitstests für Browsealoud hätten den Code auch selbst entdeckt und das Skript offline genommen. Kundendaten seien in keinem Fall kompromittiert worden, so Martin McKay, Chief Technology Officer von Texthelp.
Eine Möglichkeit, sich vor derartigen Angriffen auf Seiten der Website-Betreiber zu schützen, stellt die Technik SRI (Subresource Integrity) dar, bei der der Browser per Hash-Wert prüfen kann, ob der Code eines Skriptes manipuliert wurde. Die betroffenen Websites nutzten diese Technik nicht.
Erste Browser stoppen Miner im Browser
Das verstecke Cryptomining im Browser der Website-Besucher ist keine Seltenheit mehr und erlangte zuletzt mit steigenden Kursen eine immer größere Bedeutung. Opera 50 bietet als erster Browser einen Schutz vor diesen Angriffen, inzwischen selbst in den mobilen Varianten des Browser.