Ein Cyberdieb namens Bond007.01 treibt seit einiger Zeit sein Unwesen mit Windowsgeräten weltweit. Die Rechnenkapazität von seinem Botnet benutzt er, um die infizierten Computer Kryptowährungen zu errechnen. Einkommen: 25.000 US Dollar pro Monat.

Über Bond007.01 ist noch nicht sehr viel bekannt. Experten wissen jedoch bereits, dass er auch als leebond986 aktiv ist. Sie konnten diesen Zusammenhang herstellen, da beide gerne Code wiederverwenden über ganz einfache Konstrukte. Von wo aus Bond007.01 seine Operationen steuert, ist nicht genau bekannt. Es wird jedoch vermutet, dass er sich irgendwo in China befindet, da er Code aus chinesischen Webseiten kopiert und einfügt, chinesische Opfer anders behandelt und sein BondNet C&C Server über einem chinesischen Computer betreibt.

Bond007.01 hat inzwischen ein Botnet aus ungefähr 15.000 Windows Computern zusammengestellt, mit dem er Kryptowährungen errechnet, vorwiegend von der dezentralen Kryptowährung Monero, aber gelegentlich auch von ByteCoin, ZCash oder RieCoin. Und wie es aussieht, verdient er dabei gar nicht schlecht: 25.000 US-Dollar im Monat. Guardicore Labs in Israel hat das BondNet entdeckt mithilfe ihres Global Sensor Networks, einem Netzwerk von Täuschungsservern in weltweit verteilten Rechenzentren das Bedrohungsinformationen streamt, um neue Angriffe zu erkennen und zu analysieren. Im Januar fielen Guardicore die BondNet Aktivitäten erstmals auf und das Sicherheitsunternehmen ging mit den Ergebnissen Ende April an die Öffentlichkeit.

Guardicore fand heraus, das Bond007.01 sich einige alte Windowsschwachstellen und schwache Passwörter zunutze macht, um seine Angriffe durchzuführen. Laut den Guardicore Forscher verwendete Bond007.001 Schwachstellen in der Serversoftware wie JBoss, phpMyAdmin, ElasticSearch, Oracle Web Application Testing Suite, MSSQL, Oracle Weblogic Apache Tomcat, und einige andere.

Einmal im System, verwendet er meistens eine Reihe von DLLs und Visual Basic-Scripts, um einen Remote Access Trojaner (RAT) für den Backdoor Access herunterzuladen und zu installieren, und ein Cryptocurrency Miner, um die gehackten Server auszubeuten. Da der Cybergauner viel Zeit und Mühe aufwendet mit seiner Vorgehensweise, findet er täglich etwa 500 neue Opfer mittels dem TCP-Port-Scanner WinEggDrop, der eine aktualisierte Liste von IPs mit offenen Ports erstellt. Gleichzeitig sortiert Bond007 täglich aber auch 500 ältere Opfer aus seiner Sammlung aus.

Er greift jedes neue Opfer gezielt an mit Brute-Force-Attacken auf Systeme mit schwachen RDP-Anmeldeinformationen unter Verwendung einer Vielzahl von öffentlichen Exploits und installiert dabei immer eine Windows Management Interface (WMI) Hintertür. Die WMI-Hintertür macht die Kommunikation mit einem C & C-Server möglich, mit dem Bond007.01 Server vollständig kontrollieren und Daten stehlen, ggfs. Lösegeld fordern kann und sie letztendlich auch verwenden kann, um weitere Angriffe zu starten. Erstaunlicherweise sind infizierte Opfer nicht immer gefährdet, Informationen durch solche Szenarien zu verlieren. Durch die Eingliederung in das BondNet schießt eventuell „nur“ ihre Strom- und Datenrechnung in die Höhe.

Die interessante und gleichzeitig erschreckende Erkenntnis aus der Vorgehensweise von Bond007.01, ist, dass er sich damit gleichzeitig auch eine ganze Reihe von anderen Angriffsoptionen offenhält. Experten sehen daher großes Potential für verschiedenartige Angriffe. Fest steht, dass gekaperte Maschinen bereits in die BondNet-Struktur eingegliedert und für weitere Angriffe missbraucht werden. Die Verbreitung von Ransomware in großem Stil wäre genauso möglich wie ein riesiges DDoS-Botnetz zu erschaffen. Gar nicht so abwegig wäre eine Abvermietung des zusammengetragenen BondNets an andere – Interessenten dafür dürfte es sich genügend geben.

Guardicore empfiehlt allen Unternehmen zur besonderen Vorsicht angesichts des Umfangs dieser Angriffe. Insbesondere bereits infizierte Firmen sind doppelt gefährdet, durch die beiden verschiedenen Einstiegswege. Andere Cyberkriminelle könnten mit Leichtigkeit feststellen, welche Systeme bereits infiziert sind und dies für ihre eigenen Zwecke ausnutzen.

Unternehmen können sich schützen in dem sie Sicherheitsupdates einspielen, alle Dienste überwachen, aber auch nach übermäßigen Datenverbrauch und unerwarteten Netzwerkverbindungen Ausschau halten. Hierbei helfen die auf dem Markt verfügbaren netzwerkbasierten Überwachungssysteme. Auch die regelmäßige Überwachung aller WMI-Aktivitäten und aller Benutzerkonten erhöht die Sicherheit, da sie IT-Sicherheitsteams sofort alarmieren würde.

Obwohl es immer wieder aufgezeigt wird, verwenden viele Unternehmen immer noch veraltete Software, schwache Passwörter und gehen allzu sorglos mit Fernzugriffen um. GuardiCore hat ein Erkennungs- und Cleanup-Tool auf den Markt gebracht, um Admins zu helfen, diese Bondnet-Bots zu finden und sie von Servern zu entfernen.

Artikel von darkreading.com, 05.04.2017: New ‚Bondnet‘ Botnet Mines Cryptocurrencies
Artikel von bleepingcomputer.com, 05.04.2017: 15K Botnet Mines for Cryptocurrencies on Vulnerable Windows Servers
Artikel von cyberscoop.com, 05.04.2017: Monero mining botnet earns suspected Chinese hacker $25,000 per month