Coinhive: Die fieseste Malware des Jahres stammt aus einem deutschen Meme-Board

Versteckte Website-Betreiber, gestohlene Ferraris, ermordete Eltern: Die Story hinter der Schadsoftware ist ein wahrer Techno-Thriller.

|
März 27 2018, 12:26pm

Bild: Screenshot | pr0gramm

Brian Krebs ist einer der bekanntesten Experten für Hacking-Themen überhaupt. Der Sicherheitsforscher und ehemalige Reporter für die renommierte US-Zeitung Washington Post war einer der ersten, der ausführlich über Stuxnet berichtete – die Malware, die dazu benutzt wurde, das iranische Atomprogramm zu sabotieren. Jetzt hat Krebs ausgerechnet Stress mit einer obskuren Seite, von der wohl niemand erwartet hätte, dass sie je auf seinem Blog erwähnt wird: das deutsche Imageboard pr0gramm.

Zur Erinnerung: pr0gramm ist ein anonymes Imageboard, also eine Art Forum, um Bilder zu teilen. Benutzt wird es von zehntausenden, vor allem deutschsprachigen Nutzern, die täglich hunderte Memes veröffentlichen, Porno- und Gore-Inhalte hochladen und kommentieren, und immer wieder durch absurde Aktionen auffallen. "Man spricht nicht über das pr0gramm", ist für viele Nutzer eine Art Leitsatz, weshalb jede Berichterstattung über die Plattform angefeindet wird. Mit internationalen Hackern – Krebs' Steckenpferd – hat das Board so gar nichts zu tun. Und doch gerät es in das Visier des Cybersecurity-Reporters. Schuld daran ist eine Software namens Coinhive.

Über Coinhive haben unsere US-Kollegen bereits ausführlich berichtet. Coinhive ist ein Krypto-Mining-Programm, das von Sicherheitsexperten als Schadsoftware eingeschätzt wird. Brian Krebs nennt es "eine der größten Bedrohungen für Web-User". Wer eine Website öffnet, auf der Coinhive installiert ist, beginnt unfreiwillig während des Besuchs im Hintergrund die Kryptowährung Monero zu schürfen, die den Betreibern gutgeschrieben wird. Diese Art von parasitärem Mining griff im Nu um sich: Nicht nur Porno-Seiten hielten dieses Vorgehen für eine ganz vorzügliche Idee, auch das US-Magazin Salon integrierte Coinhive für kurze Zeit, um ihren Journalismus in Zeiten von Adblockern mit der Rechnenpower der Leser zu finanzieren. Eine richtig schlechte Idee, wenn man sich die Nutzerreaktionen anschaut.

Nicht viel war über die Malware Coinhive bekannt, außer: Die Macher sitzen wohl in Deutschland. Wer sie sind, das wusste man nicht. Brian Krebs wollte das ändern. Der ganze Bericht liest sich wie der überkomplexe Plot eines Techno-Thrillers, mit gut versteckten Webseitenbetreibern, einer Mindmap, gestohlenen Ferraris, ermordeten Eltern und – kein Witz – einem Ameisenforum. Die Lektüre empfehlen wir ausdrücklich. Am Ende steht jedoch eine große Erkenntnis: Coinhive entstand auf dem anarchischen Imageboard pr0gramm.

Was hat pr0gramm wirklich mit Coinhive zu tun?

Mitte vergangenen Jahres hat der Spieleentwickler Dominic Szablewski eine Idee: Eine Mining-Software für Kryptowährungen, erstellt mit WebAssembly, damit also ausführbar im Browser. Er braucht Tester – wie gut funktioniert seine Idee wirklich? – und seine Wahl fällt auf die Nutzer von pr0gramm. Denn Szablewski hat das Imageboard 2007 gegründet, acht Jahre später jedoch an an einen anderen Administrator weitergegeben. Er hätte bis heute einen guten Draht zu den aktuellen Betreibern der Seite, schreibt Szablewski in seinem Blog.

Der Vorläufer von Coinhive wurde auf pr0gramm dazu genutzt, Premium-Punkte zu farmen | Bild: Screenshot | pro0gramm

Auf pr0gramm startet deshalb seine Mining-Software im Juli 2017 unter dem Namen "pr0miner" – und die Kryptowährung, die es schürft, ist fast komplett nutzlos. Sie heißt pr0mium und ist einzig dafür gut, sich den gleichnamigen Premium-Zugang zum Forum zu kaufen, der sonst etwa 3 Euro im Monat kostet und einige kleine Bonus-Features freischaltet. Szablewski lädt pr0gramm-Nutzer auch dazu ein, den pr0miner auf ihre eigenen Webseiten zu stellen.

Obwohl die Idee zunächst nur nach einer weiteren absurden Aktion des Imageboards klingt, funktioniert das Experiment so erfolgreich, dass Szablewski entscheidet, eine eigene Firma zu gründen. Sein Produkt nennt er Coinhive.

Dass Coinhive zunächst auf pr0gramm getestet wurde, hat Motherboard bereits im Februar berichtet, wie eng die Verbindung der Entwickler und der Board-Betreiber war, hat aber erst jetzt Brian Krebs aufgedeckt. Szablewski betont in einem Blogpost, dass Coinhive aktuell wirklich nichts geschäftlich mit pr0gramm zu tun habe, es sei nur eine Testumgebung gewesen.

"Krebs (der Hurensohn)": pr0gramm reagiert

Dieses Meme fasst überraschend präzise den Humor des Imageboards zusammen | Bild: Screenshot | pr0gramm

Auf pr0gramm stößt der Artikel des investigativen Sicherheitsforschers Krebs auf wenig Anklang. Er habe grundlos Namen verraten, die möglicherweise an pr0gramm beteiligt wären. Gerade Anonymität ist den Nutzern aber besonders wichtig.

Leicht scherzhaft wird jetzt eine mögliche "Abschaltung" des Imageboards befürchtet: "Hallo Herr Krebs, bitte nehmen Sie uns nicht unser geliebtes pr0 :( viele Grüße", heißt es von einem Nutzer. Das wirkt ziemlich unwahrscheinlich – auch wenn derzeit Neuanmeldungen "vorübergehend geschlossen" sind.

Brian Krebs wird nun in zahlreichen Memes beleidigt oder ausgelacht, gleichzeitig gibt es aber auch Nutzer, die auf die Kompetenzen des Reporters hinweisen, er habe sich schon mit sehr viel größeren Gegnern angelegt als mit deutschen Meme-Meistern.

Und der Erfinder von Coinhive? Szablewski gibt sich hoffnungsvoll, was die Zukunft des Krypto-Minings angeht. "Ich habe eine Firma gefunden, die interessiert ist, an diesem Unterfangen", schreibt Szablewski heute in seinem Blog, "sie haben Coinhive übernommen und arbeiten an einem großen Generalüberholung." Nötig wäre das. Bisher hat einer der größten Nutzer der Software in drei Monaten nur knapp 8 Dollar mit Coinhive verdient.

Update, 28.03.18, 10:47: Inzwischen haben die Nutzer von pr0gramm eine andere Art gefunden, mit dem Bericht von Brian Krebs umzugehen: Mit der Aktion "Krebs ist scheiße" (auf Twitter auch: #krebsiscancer) sammeln die Nutzer Spenden, die vor allem der Deutschen Krebshilfe zugute kommen. Offenbar wollen sie sich so gegen die Vorwürfe von Brian Krebs wehren, das Forum hätte Verbindungen zur rechtsextremen Szene, sowie aufmerksam machen auf Krebs’ angeblich unverantwortlichen Umgang mit Klarnamen der Betreiber von pr0gramm. Die gesamte Startseite von pr0gramm ist zum Zeitpunkt dieses Updates voll mit Bildern, die eingehende Spenden bestätigen wollen.

Wer aktuell auf pr0gramm.com geht, findet kaum noch Memes, sondern fast nur noch Bestätigungen eingehender Spenden und weitere Aufrufe | Bild: Screenshot, pr0gramm

Eine Sprecherin der Deutschen Krebshilfe bestätigt den verstärkten Eingang von Spenden seit letzter Nacht. "Wir waren darüber ziemlich überrascht und recherchieren das aktuell noch", sagt die Sprecherin gegenüber Motherboard. Die pr0gramm-Nutzer behaupten, dass seit letzter Nacht mehrere tausend Euro zusammen gekommen sind. Wie hoch die Spenden wirklich sind und wie die Deutsche Krebshilfe zu der unerwarteten Hilfe aus dem anarchischen Imageboard steht, ergänzen wir an dieser Stelle, sobald die Hilfsorganisation Motherboard genauere Angaben geben kann.

Folgt Dennis auf Twitter und Motherboard auf Facebook, Instagram und Snapchat