Diebstahl per USB-Stick – SPIEGEL ONLINE

Diebstahl per USB-Stick – SPIEGEL ONLINE

Share

Clevere Gangster haben Geldautomaten mit einem USB-Stick leergeräumt – mehrfach. Ihre Bankraub-Software verwischt die Spuren besser als bislang bekannte Programme.

Etwas Merkwürdiges geht an den Geldautomaten einer Bank vor: Das Bargeld verschwindet hin und wieder aus den Geräten, doch sie wurden nicht aufgebrochen. Es wurde auch nichts abgehoben – in den Protokollen finden sich keine Transaktionen. Die Bank überwacht bestimmte Automaten gezielt, und so gelingt es Sicherheitsleuten, einen Verdächtigen beim Abheben von Bargeld zu stellen. Bei ihm wird ein USB-Stick mit Schadsoftware gefunden. Bei der Analyse des Codes stellt sich heraus: Dieser USB-Stick war das Einbruchwerkzeug.

Sicherheitsforscher der US-Firma CrowdStrike haben den Bankraub-Trojaner im Auftrag der betroffenen Bank analysiert. Ihre Ergebnisse stellten sie auf dem 30. Chaos Communication Congress (30C3) in Hamburg vor. Das Bankraub-Programm ist außerordentlich clever aufgebaut, einige der Funktionen der Software wurden so bislang noch nicht beobachtet.

Die betroffenen Geldautomaten haben die Täter so gekapert: Sie bohrten ein Loch in die Verkleidung und steckten einen USB-Stick in den PC des Geldautomaten, auf dem Windows XP lief. Dieses Vorgehen deutet auf Insiderkenntnisse hin: Die Täter mussten vorab genau wissen, wo man beim Gehäuse ansetzen muss, um an den verbauten Rechner zu kommen. Die Angreifer leiteten einen Neustart ein, beim Booten setzte sich ihre Schadsoftware im Wirtssystem fest. Fortan lief auf dem Windows-Rechner im Geldautomaten das Bankraub-Programm parallel zur normalen Software. Die Täter kaschierten das kleine Loch im Gehäuse des Automaten so gut, dass es nicht auffiel.

Die Besonderheiten der Software:

  • Zwei-Faktor-Identifizierung: Wenn ein Handlanger der Täter zum Abheben an einen infizierten Automaten kommt, muss er sich zweimal bei der Bankraub-Software identifizieren. Im ersten Schritt tippt er eine zwölfstellige Kennnummer auf dem Nummernfeld des Automaten ein. Wurde die korrekte Zahl eingegeben, verschwindet die normale Oberfläche der Geldautomaten-Software, und die Abheber sehen eine Ziffernfolge auf dem Schirm. Sie rufen dann – das zeigen Überwachungsvideos – mit dem Handy jemanden an, lesen ihm die Ziffern vor und erhalten am Telefon den passenden Code. Erst die zweite Eingabe schaltet das eigentliche Abhebe-Menü frei: Jedes Scheinfach kann einzeln geleert werden.
  • Spuren verwischen: Die Entwickler der Software haben mit großer Sorgfalt Verfahren zum Tarnen ihrer Eingriffe eingebaut. Im Hauptmenü der Bankraub-Software können die Abheber die Netzwerkanbindung des Computers deaktivieren und nach dem Abheben wieder einschalten. Das soll vermutlich einen Echtzeit-Abgleich mit der Zentrale verhindern. Aus dem Hauptmenü lässt sich der Trojaner ebenfalls komplett vom Geldautomaten-PC entfernen. Die Software überschreibt dabei die Daten mehrfach, damit sich aus den verbliebenen Fragmenten möglichst nicht die Diebstahl-Software rekonstruieren lässt.
  • Zielgerichtete Angriffe: Die Täter haben offenbar genau gewusst, welche Automaten sie kapern. Die Sicherheitsforscher von CrowdStrike weisen darauf hin, dass die Täter die Kennnummern der Laufwerke in den Geldautomaten kannten. Auf dem beim Abheber sichergestellten USB-Stick fanden die Forscher Spuren maßgeschneiderter Angriffsprogramme für drei Automaten.

Um welche Bank es sich handelt, ist unklar – das Geldhaus bestand auf Vertraulichkeit. Die Screenshots der Bankraub-Software deuten auf Brasilien hin, aber das könnte auch ein Ablenkungsmanöver der Sicherheitsfirma sein.

Quelle: Diebstahl per USB-Stick – SPIEGEL ONLINE.

Empfehlung: Eine Absicherung verschafft die IT Security Lösung EgoSecure Endpoint

EgoSecure GmbH - Head of Professional Services

EgoSecure GmbH

Share

Über den Autor

Avatar

Daniel Döring administrator

Schreibe eine Antwort

Translate »