Der Erfindungsreichtum der modernen Einbrecher ist erstaunlich. Opfer ihrer Spielereien waren bisher zumeist End-User von Wallets wie Electrum oder anderen Apps wie „CoinTicker“ die zunächst nur eine Hintertür bei Apple-Geräten öffneten. Unter dem Begriff des Cryptojackings brach eine weitere Welle los. Darunter versteht man das unerkannte Installieren von Mining-Software auf Computern. Die Rechenleistung des fremden Geräts wird dann vom Angreifer verwendet, um Krypto-Coins zu minen. Auch hier waren End-User von PCs und Laptops die Opfer.
Nun auch Bitmain betroffen
Gemäß der chinesischen Nachrichtenagentur Yibenchain sind nun auch die Antminer von Bitmain betroffen. Dabei geht es um die Modelle S9, T9 und vermutlich auch L3. Das chinesische Unternehmen Bitmain ist nicht nur der führende Hersteller von Mining-Hardware, insbesondere von ASIC-Minern namens Antminer, sondern betreibt mit dem Antpool auch einen der größten Mining Pools. Zudem gebe es Hinweise darauf, dass auch der Bitmain-Konkurrent Canaan Creative und deren Avalon Miner betroffen seien, heißt es auf Yibenchain weiter. Dass das Problem bereits seit August 2018 bekannt ist, hinderte den Virus namens H-Ant nicht daran, sich weiter zu verbreiten.
Das Trojanische Pferd
Wenn man sich an die Fehlerdiagnose des betroffenen Geräts macht, also einen Bildschirm anschließt, erscheinen eher unangenehme Zeilen auf Englisch und Chinesisch:
„Ich bin H-Ant. Ich werde nicht von deinem Antminer ablassen, es sei denn du verbreitest den Virus so lange, bis ich 10 neue IP-Adressen infiziert sehe und es insgesamt 1.000 betroffene Geräte gibt. Ich bin in der Lage sowohl Ventilator als auch Überhitzungsschutz deines Antminers auszuschalten. Infolgedessen würde entweder dein Gerät oder, schlimmer noch, dein ganzes Haus abbrennen.“
Daraufhin wird man vor eine Wahl gestellt:
„Klicke auf den Download Firmware Patch-Button, um unseren Client mit deiner IP-Adresse herunterzuladen und führe das Update deiner Antminer-Software durch. Dann wird dein Miner infiziert sein. Du kannst das infizierte Gerät in einen anderen Mining-Raum stellen, um die Infektion abzuschließen, oder andere in deinem Netzwerk dazu bringen, den Patch zu installieren. Alternativ kannst du 10 BTC bezahlen und der Angriff ist beendet.“
Alles halb so wild
Die chinesische Nachrichtenseite 8btc befragte Jiang Zhuo‘er, den Gründer des Mining Pools btc.top, zu H-Ant. Er erklärte, dass der Virus H-Ant über eine Übertaktungssoftware auf den Geräten lande. Derartige Software sei bei den meisten Mining Pools verbreitet, auch wenn Hersteller davon abraten. Man kann damit die eigentlich maximale Leistung noch einmal erhöhen. Bisher sind nur chinesische Miner davon betroffen. Jiang Zhuo‘er geht davon aus, dass die schadhafte Software über das chinesische Google-Pendant Baidu verbreitet wurde und wird.
Für das gesamte Netzwerk sehe er allerdings keine große Gefahr. Die „Hashpower des Bitcoin-Netzwerks hat stark dezentralisierten Charakter und es ist sehr schwer herauszufinden, wo die Miner tatsächlich stehen.“ Ferner kursieren bereits Lösungen für infizierte Geräte im Netz. Durch einen Reflash der SD-Karte des Miners und der anschließenden Neuinstallation der sauberen Software könne der Virus beseitigt werden. Ein Reflash ist dabei ein etwas komplizierterer Formatierungsprozess. Die Schlossmacher haben also bereits zurückgeschlagen.