Verdächtige Aktivitäten im Bitcoin-Netzwerk

Die Sicherheitsforscher kombinierten Daten aus ihrem weltweiten Honeypot-Netzwerk, Projekt Heisenberg, mit Informationen aus gezielten Internet-Scans sowie dem Bitnodes-Projekt von Entwickler Addy Yeow. Seit Anfang August 2017 beobachtete das Forscherteam täglich bis zu 15.000 Internetknoten im Bitcoin-Peer-to-Peer-Netzwerk; insgesamt sammelte das Team Daten von 144.000 verschiedenen Nodes. Dominiert wurde das per Bitnodes kontinuierlich beobachtete Netzwerk dabei von über 13.100 Nodes in Deutschland, gefolgt von China mit 12.170 und den USA mit 10.435 Knoten.

Da die verwendeten Honeypots nicht öffentlich bekannt sind, ist jede Interaktion eines Internetknotens mit einem Heisenberg-Honeypot per se fragwürdig. Im Zeitraum von August 2017 bis März 2018 zählten die Forscher solcher verdächtigen Interaktionen von über 900 verschiedenen Nodes – davon 132 in Deutschland, 178 in den USA und 154 in China. Bei diesen handelte es sich zum Beispiel um Portscans mit Tools wie Nmap, aber auch um wiederholte Versuche aus China, die Microsoft Windows-Schwachstelle MS17-010 auszunutzen. Und fast jeder zehnte russische Node im Bitcoin-Netzwerk versuchte mit den Honeypots zu kommunizieren – die Forscher registrierten fast 380 Millionen Verbindungsversuche aus Russland, weit mehr als aus jedem anderen Land.

Obwohl die Zahl der verdächtigen Nodes insgesamt relativ niedrig ist, fanden die Forscher heraus, dass das Bitcoin-Netzwerk an einem typischen Tag dreimal so viel schädliches Verhalten aufweist wie der Rest des Internets und an schlechten Tagen sogar zehnmal so viel. Das übliche “Hintergrundrauschen” von bösartigen Aktivitäten im gesamten IPv4-Internet stammt von rund 0.2 Prozent der verbundenen Rechner, während sich im Bitcoin-Netz an manchen Tagen bis zu 2 Prozent der Nodes seltsam verhalten.

Warum die 900 verdächtigen Nodes im Bitcoin-Network mit den Heisenberg-Honeypots kommunizieren wollten, darüber können die Sicherheitsforscher nur spekulieren. Einige der registrierten Aktivitäten zielten auf Ports und Protokolle wie Secure Shell (SSH), Remote Desktop Protocol (RDP) oder Virtual Network Computing (VNC), vermutlich auf der Suche nach voreingestellten oder leicht erratbaren Anmeldedaten. Solche Aktivitäten lassen sich auch im übrigen Internet häufig beobachten. Daneben beobachteten die Forscher auch Server Message Block (SMB)-Verbindungsversuche, wahrscheinlich mit dem Ziel, bekannten Exploit-Code auszuführen.

Quelle: Verdächtige Aktivitäten im Bitcoin-Netzwerk | www.security-insider.de