Mit USB-Stick Bankomaten geknackt

4. Jänner 2014, 10:55
338 Postings

Sicherheitsforscher analysierten eine hochentwickelte Malware, mit der bereits eine Bank bestohlen wurde

Vom 30. Chaos Communication Congress (30C3) wurde bereits einiges berichtet, nun gibt es einen brisanten Nachschlag von zwei nicht namentlich genannten Sicherheitsforschern. Diese stießen nämlich auf eine Malware, mit der ein Bankautomat problemlos per USB-Stick übernommen werden kann und auch bereits Anwendung fand.

Code weist noch nie dagewesene Funktionen auf

Versuche mit eigens entwickelter Schadsoftware Geld illegal abzuheben sind nicht neu, der von den Forschern entdeckte Code ist in seiner Art und Weise jedoch außergewöhnlich und weist neue Anwendungsmöglichkeiten auf, die bisher noch nicht entdeckt wurden. Eine davon ist die Challenge-Response-Abfrage, bei der kontrolliert werden kann, wer auf dem Automaten Geld abhebt. Mittels zwölfstelligem Code gelangt man in eine spezielle Benutzeroberfläche, bei der angezeigt wird, wie viel Bargeld sich in dem Automaten befindet. Dieses lässt sich dann auch problemlos beheben.

Spuren konnten problemlos verwischt werden

Weiters wurde die Malware mit einer Kopie des Systinternal-Tools "sdelete" versehen, das nach einer erfolgreichen Übernahme sämtliche Spuren verwischt, sodass der Hack-Vorgang nicht nachgewiesen werden kann. Hierfür ist ist ebenso eine Challenge-Response-Authentifizierung vorgesehen. Eine weitere Funktion ermöglicht es außerdem den Netzwerkschalter des übernommenen Geräts zu kontrollieren. Nachforschungen ergaben weiters, dass die Malware für jeden einzelnen Automaten maßgeschneidert wurde. Dies lässt Spekulationen offen, ob die Programmierer der Schadsoftware mit einem Insider bei der betroffenen Bank oder dem Hersteller zusammenarbeiteten.

Der 30C3-Vortrag der Sicherheitsforscher als Video

Automaten operierten mit Windows XP

Um an das Geld des Automaten zu gelangen, schnitten die Täter ein Loch in die Plastikverkleidung des Geräts, um einen USB-Stick an den mit Windows XP versehenen PC anzuschließen. Mittels Hiren's BootCD wurden nach einem erzwungenen Neustart Daten von der Festplatte des Automaten gestohlen, daraufhin wurde ein Script ausgeführt, welches die Malware auf den Rechner brachte. Diese zeichnete nach erfolgreicher Infizierung sämtliche Tasteneingaben auf und wurde nach Eingabe des zwölfstelligen Codes aktiv. Nach erfolgreicher Abhebung wurde das Loch in der Plastikverkleidung dann auch wieder von den Tätern verschlossen.

Zumindest ein Täter wurde ausgeforscht

Die betroffene Bank konnte, nachdem immer wieder Geld aus den Automaten verschwunden war, zumindest einen Täter nach intensiver Videoüberwachung ausforschen. Auf dem sichergestellten USB-Stick fand sich die Malware, die von den Sicherheitsforschern nun analysiert wurde. Laut Log-Dateien soll diese insgesamt vier Automaten übernommen haben. (red, derStandard.at, 04.01.2014)

  • Mit speziell entwickelter Malware und einem USB-Stick gingen die Täter auf Diebestour.
    foto: apa/fohringer

    Mit speziell entwickelter Malware und einem USB-Stick gingen die Täter auf Diebestour.

Share if you care.