Screenshot: LSZ-B

Landessicherheitszentrale Burgenland: Kryptominer auf Website entdeckt

1. Dezember 2017, 12:09

Coinhive zwackte Rechnerressourcen der Besucher zur Generierung der Kryptowährung Monero ab – veraltete Joomla-Version als mögliches Einfallstor

Nicht schlecht staunten Besucher der Homepage der Landessicherheitszentrale Burgenland (LSZ-B) zuletzt beim Aufruf der Seite. Denn sie bemerkten, dass ihr Browser plötzlich langsamer wurde und der ganze Rechner mitunter ins Stottern kam. Am Smartphone stürzte der Browser mitunter komplett ab. Findige Nutzer von LTEForum.at hatten die Ursache dafür schnell ausgemacht und den STANDARD in Kenntnis gesetzt: Auf der Seite lief ein Kryptominer.

Dabei handelt es sich in diesem Fall um ein Skript, bei dem der Prozessor im Computer oder Handy von Nutzern bei Aufruf der Seite herangezogen wird, um im Hintergrund nach der Kryptowährung Monero zu schürfen. Etwaige Erträge wurden automatisiert in einem Wallet (digitale Geldbörse) unbekannter Dritter hinterlegt.

Coinhive sammelt Geld für Angreifer

Bei einer nächtlichen Analyse der Seite konnten die Angaben der LTE-Forum-User verifiziert werden. Implementiert war ein Mining-Skript des Anbieters Coinhive. Dessen Technologie wird üblicherweise auf eher zwielichtigen Seiten eingesetzt. Sie dienen dort als Ersatz für Captchas oder zur Freischaltung von Downloads, für welche die Betreiber im Gegenzug mithilfe der Besucher Moneros generieren können.

Die Einbettung des Coinhive-Skripts im Quellcode der LSZ-B-Homepage.
screenshot: lsz-b

Üblicherweise ist Coinhive dabei so implementiert, dass das Mining auf einen kurzen Zeitraum begrenzt ist und erst auf Zutun des Nutzers beginnt. Auf der Website des LSZ-B wurde dieser Vorgang allerdings schon beim Aufruf gestartet, was zu den erwähnten Problemen führte.

Eingeschmuggelt wurde der Miner von einem unbekannten Angreifer. Das verwendete Wallet taucht auch im Bezug zu Reihe von anderen Seiten auf – von französischen Hotels über eine staatliche Hochschule in Sri Lanka bis zu einem Mödlinger Gastwirtschaftsbetrieb. Die jeweiligen Inhaber wurden über das Problem in Kenntnis gesetzt.

Seite lief seit drei Jahren ohne CMS-Update

Der Hacker könnte sich dabei eine oder mehrere Sicherheitslücken des Content-Management-Systems (CMS) der Seite zunutze gemacht haben. Laut STANDARD-Analyse lief das Portal mit Joomla in der Version 3.3.1. Diese ist im Juni 2014 erschienen und somit knapp 3,5 Jahre alt. Seitdem wurde das technische Grundgerüst der Seite offenbar keiner Aktualisierung mehr unterzogen. Für Joomla 3.3.1 gibt es mittlerweile eine Reihe bekannter Sicherheitslücken, von denen einige schwereren Ausmaßes sind und prinzipiell auch das Überwinden der Login-Abfrage ermöglichen.

Doch wie konnte es dazu kommen? Beim LSZ-B war man zunächst wenig auskunftsfreudig. Ein offizielles Statement verweigerte man zuerst unter Hinweis auf den auswärtig befindlichen Geschäftsführer. Dieser sei erst "am Montag" wieder im Haus. Eine mobile Kontaktaufnahme wurde – trotz Verweis auf den in zeitnah in Arbeit befindlichen Artikel – nicht ermöglicht. Man verwies auf die Firma Suxxess Solution, von der die Seite aufgebaut worden war.

Bei Suxxess erklärte man allerdings, dass man 2014 den Auftrag erhalten habe, den Onlineauftritt neu zu gestalten. Dem habe man entsprochen und die Seite mit der damals aktuellsten Joomla-Ausgabe an den Start gebracht. Eine weitere Wartung sei aber nicht vereinbart gewesen. Das LSZ-B habe sich damals jedenfalls als "sehr sorgsamer Kunde im Hinblick auf Datenschutz und IT-Sicherheit" präsentiert.

Maßnahmen angekündigt

In einem erneuten Telefonat kündigte das LSZ-B jedenfalls umfassende Maßnahmen an und bestätigte, dass es zwar einen Wartungsvertrag für den Server selbst bei einem anderen Unternehmen gibt, nicht aber für die Seite selbst. Man habe nun die Suxxess Solution mit der Bereinigung des Problems beauftragt.

Die Seite soll zudem über das Wochenende von einem dedizierten auf einen virtuellen Server umziehen und auch softwaremäßig auf den neuesten Stand gebracht werden. Weiters soll danach auch ein Auftrag für die laufende technische Betreuung erteilt werden. Derzeit, Freitagmittag, läuft die Seite noch in ihrem Letztzustand, Kryptominer inklusive.

Kritische Daten sollen nicht gefährdet worden sein

Jedenfalls, so heißt es von beiden Stellen, handelt es sich bei der Homepage um ein reines Informationsangebot, das von der restlichen Infrastruktur des LSZ-B abgekoppelt ist. Kritische Einsatzdaten und andere sensiblen Informationen sollen dort nicht abgreifbar sein.

Die Theorie, dass die veraltete Joomla-Version letztlich das Einfallstor für die Einschleusung des Kryptominers war, wird Seitens LSZ-B und Suxxess kritisch betrachtet. Wie der Angriff gelang, ist bis dato nicht klar. Bei der vom STANDARD durchgeführten Stichprobe unter vom gleichen Angreifer attackierten Seiten stellte sich jedenfalls heraus, dass ein großer Teil ebenfalls mit älteren Joomla-Ausgaben läuft.

Anlaufstelle für Zivilschutz

Die Landessicherheitszentrale Burgenland ist eine von der öffentlichen Hand betriebene GmbH mit Sitz in Eisenstadt. Sie ist der Bundeswarnzentrale unterstellt, die ihrerseits eine Abteilung des Innenministeriums ist. Die LSZ-B fungiert auch als integrierte Leitstelle von Einsatzorganisationen im Bereich Zivilschutz (Feuerwehr, Rettung, Landeswarnzentrale sowie Ärztenotrufe). Die Homepage versteht sich als Informationsangebot und bietet etwa Notrufnummern und Einsatzberichte an.

Die GmbH befindet sich zu 60 Prozent im Besitz des Land Burgenland, zu 20 Prozent im Besitz des des burgenländischen Landesfeuerwehrenverbands. 19 Prozent gehören dem burgenländischen Roten Kreuz und ein Prozent dem burgenländischen Arbeitersamariterbund. (Georg Pichler, 01.12.2017)