Clevere Gangster haben Geldautomaten mit einem USB-Stick leergeräumt -
mehrfach. Ihre Bankraub-Software verwischt die Spuren besser als bislang
bekannte Programme.
Etwas Merkwürdiges geht an den Geldautomaten einer Bank vor: Das Bargeld
verschwindet hin und wieder aus den Geräten, doch sie wurden nicht
aufgebrochen. Es wurde auch nichts abgehoben - in den Protokollen finden
sich keine Transaktionen. Die Bank überwacht bestimmte Automaten
gezielt, und so gelingt es Sicherheitsleuten, einen Verdächtigen beim
Abheben von Bargeld zu stellen. Bei ihm wird ein USB-Stick mit
Schadsoftware gefunden. Bei der Analyse des Codes stellt sich heraus:
Dieser USB-Stick war das Einbruchwerkzeug.
ANZEIGE
Sicherheitsforscher der US-Firma CrowdStrike haben den Bankraub-Trojaner
im Auftrag der betroffenen Bank analysiert. Ihre Ergebnisse stellten sie
auf dem 30. Chaos Communication Congress (30C3) in Hamburg vor. Das
Bankraub-Programm ist außerordentlich clever aufgebaut, einige der
Funktionen der Software wurden so bislang noch nicht beobachtet.
Die betroffenen Geldautomaten haben die Täter so gekapert: Sie bohrten
ein Loch in die Verkleidung und steckten einen USB-Stick in den PC des
Geldautomaten, auf dem Windows XP lief. Dieses Vorgehen deutet auf
Insiderkenntnisse hin: Die Täter mussten vorab genau wissen, wo man beim
Gehäuse ansetzen muss, um an den verbauten Rechner zu kommen. Die
Angreifer leiteten einen Neustart ein, beim Booten setzte sich ihre
Schadsoftware im Wirtssystem fest. Fortan lief auf dem Windows-Rechner
im Geldautomaten das Bankraub-Programm parallel zur normalen Software.
Die Täter kaschierten das kleine Loch im Gehäuse des Automaten so gut,
dass es nicht auffiel.
Die Besonderheiten der Software:
⦁ Zwei-Faktor-Identifizierung: Wenn ein Handlanger der Täter zum Abheben
an einen infizierten Automaten kommt, muss er sich zweimal bei der
Bankraub-Software identifizieren. Im ersten Schritt tippt er eine
zwölfstellige Kennnummer auf dem Nummernfeld des Automaten ein. Wurde
die korrekte Zahl eingegeben, verschwindet die normale Oberfläche der
Geldautomaten-Software, und die Abheber sehen eine Ziffernfolge auf dem
Schirm. Sie rufen dann - das zeigen Überwachungsvideos - mit dem Handy
jemanden an, lesen ihm die Ziffer vor und erhalten am Telefon den
passenden Code. Erst die zweite Eingabe schaltet das eigentliche
Abhebe-Menü frei: Jedes Scheinfach kann einzeln geleert werden.
⦁ Spuren verwischen: Die Entwickler der Software haben mit großer
Sorgfalt Verfahren zum Tarnen ihrer Eingriffe eingebaut. Im Hauptmenü
der Bankraub-Software können die Abheber die Netzwerkanbindung des
Computers deaktivieren und nach dem Abheben wieder einschalten. Das soll
vermutlich einen Echtzeit-Abgleich mit der Zentrale verhindern. Aus dem
Hauptmenü lässt sich der Trojaner ebenfalls komplett vom
Geldautomaten-PC entfernen. Die Software überschreibt dabei die Daten
mehrfach, damit sich aus den verbliebenen Fragmenten möglichst nicht die
Diebstahl-Software rekonstruieren lässt.
⦁ Zielgerichtete Angriffe: Die Täter haben offenbar genau gewusst,
welche Automaten sie kapern. Die Sicherheitsforscher von CrowdStrike
weisen darauf hin, dass die Täter die Kennnummern der Laufwerke in den
Geldautomaten kannten. Auf dem beim Abheber sichergestellten USB-Stick
fanden die Forscher Spuren maßgeschneiderter Angriffsprogramme für drei
Automaten.
Um welche Bank es sich handelt, ist unklar - das Geldhaus bestand auf
Vertraulichkeit. Die Screenshots der Bankraub-Software deuten auf
Brasilien hin, aber das könnte auch ein Ablenkungsmanöver der
Sicherheitsfirma sein.
Der Autor auf Facebook
http://www.spiegel.de/netzwelt/web/diebstahl-per-usb-stick-a-941824htmll