Bankautomaten Geldautomaten
Clevere Gangster
haben Geldautomaten mit einem USB-Stick leergeräumt - mehrfach. Ihre
Bankraub-Software verwischt die Spuren besser als bislang bekannte
Programme.
Etwas Merkwürdiges geht an den Geldautomaten
einer Bank vor: Das Bargeld verschwindet hin und wieder aus den Geräten,
doch sie wurden nicht aufgebrochen. Es wurde auch nichts abgehoben - in
den Protokollen finden sich keine Transaktionen. Die Bank überwacht
bestimmte Automaten gezielt, und so gelingt es Sicherheitsleuten, einen
Verdächtigen beim Abheben von Bargeld zu stellen. Bei ihm wird ein
USB-Stick mit Schadsoftware gefunden. Bei der Analyse des Codes stellt
sich heraus: Dieser USB-Stick war das Einbruchwerkzeug.
Sicherheitsforscher der US-Firma CrowdStrike
haben den Bankraub-Trojaner im Auftrag der betroffenen Bank analysiert.
Ihre Ergebnisse stellten sie auf dem 30. Chaos Communication Congress
(30C3) in Hamburg vor. Das Bankraub-Programm ist außerordentlich clever
aufgebaut, einige der Funktionen der Software wurden so bislang noch
nicht beobachtet.
Die betroffenen Geldautomaten haben die Täter
so gekapert: Sie bohrten ein Loch in die Verkleidung und steckten einen
USB-Stick in den PC des Geldautomaten, auf dem Windows XP lief. Dieses
Vorgehen deutet auf Insiderkenntnisse hin: Die Täter mussten vorab genau
wissen, wo man beim Gehäuse ansetzen muss, um an den verbauten Rechner
zu kommen. Die Angreifer leiteten einen Neustart ein, beim Booten setzte
sich ihre Schadsoftware im Wirtssystem fest. Fortan lief auf dem
Windows-Rechner im Geldautomaten das Bankraub-Programm parallel zur
normalen Software. Die Täter kaschierten das kleine Loch im Gehäuse des
Automaten so gut, dass es nicht auffiel.
Die Besonderheiten der Software:
· Zwei-Faktor-Identifizierung: Wenn ein
Handlanger der Täter zum Abheben an einen infizierten Automaten kommt,
muss er sich zweimal bei der Bankraub-Software identifizieren. Im ersten
Schritt tippt er eine zwölfstellige Kennnummer auf dem Nummernfeld des
Automaten ein. Wurde die korrekte Zahl eingegeben, verschwindet die
normale Oberfläche der Geldautomaten-Software, und die Abheber sehen
eine Ziffernfolge auf dem Schirm. Sie rufen dann - das zeigen
Überwachungsvideos - mit dem Handy jemanden an, lesen ihm die Ziffer vor
und erhalten am Telefon den passenden Code. Erst die zweite Eingabe
schaltet das eigentliche Abhebe-Menü frei: Jedes Scheinfach kann einzeln
geleert werden.
· Spuren verwischen: Die Entwickler der
Software haben mit großer Sorgfalt Verfahren zum Tarnen ihrer Eingriffe
eingebaut. Im Hauptmenü der Bankraub-Software können die Abheber die
Netzwerkanbindung des Computers deaktivieren und nach dem Abheben wieder
einschalten. Das soll vermutlich einen Echtzeit-Abgleich mit der
Zentrale verhindern. Aus dem Hauptmenü lässt sich der Trojaner ebenfalls
komplett vom Geldautomaten-PC entfernen. Die Software überschreibt dabei
die Daten mehrfach, damit sich aus den verbliebenen Fragmenten möglichst
nicht die Diebstahl-Software rekonstruieren lässt.
· Zielgerichtete Angriffe: Die Täter haben
offenbar genau gewusst, welche Automaten sie kapern. Die
Sicherheitsforscher von CrowdStrike weisen darauf hin, dass die Täter
die Kennnummern der Laufwerke in den Geldautomaten kannten. Auf dem beim
Abheber sichergestellten USB-Stick fanden die Forscher Spuren
maßgeschneiderter Angriffsprogramme für drei Automaten.
Um welche
Bank es sich handelt, ist unklar - das Geldhaus bestand auf
Vertraulichkeit. Die Screenshots der Bankraub-Software deuten auf
Brasilien hin, aber das könnte auch ein Ablenkungsmanöver der
Sicherheitsfirma sein.
Der Autor auf Facebook
http://www.spiegel.de/netzwelt/web/diebstahl-per-usb-stick-a-941824htmll
Nach weiteren Quellen soll es sich um das Betriebssystem Windows XP
gehandelt haben
.