Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Diebstahl per USB-Stick: So funktioniert die bisher cleverste Bankraub-Software

Von

Menü der Geldraub-Software: Mit diesem Menü lässt sich das Programm entfernen Zur Großansicht
YouTube/ Creative Commons

Menü der Geldraub-Software: Mit diesem Menü lässt sich das Programm entfernen

Clevere Gangster haben Geldautomaten mit einem USB-Stick leergeräumt - mehrfach. Ihre Bankraub-Software verwischt die Spuren besser als bislang bekannte Programme.

Etwas Merkwürdiges geht an den Geldautomaten einer Bank vor: Das Bargeld verschwindet hin und wieder aus den Geräten, doch sie wurden nicht aufgebrochen. Es wurde auch nichts abgehoben - in den Protokollen finden sich keine Transaktionen. Die Bank überwacht bestimmte Automaten gezielt, und so gelingt es Sicherheitsleuten, einen Verdächtigen beim Abheben von Bargeld zu stellen. Bei ihm wird ein USB-Stick mit Schadsoftware gefunden. Bei der Analyse des Codes stellt sich heraus: Dieser USB-Stick war das Einbruchwerkzeug.

Sicherheitsforscher der US-Firma CrowdStrike haben den Bankraub-Trojaner im Auftrag der betroffenen Bank analysiert. Ihre Ergebnisse stellten sie auf dem 30. Chaos Communication Congress (30C3) in Hamburg vor. Das Bankraub-Programm ist außerordentlich clever aufgebaut, einige der Funktionen der Software wurden so bislang noch nicht beobachtet.

Die betroffenen Geldautomaten haben die Täter so gekapert: Sie bohrten ein Loch in die Verkleidung und steckten einen USB-Stick in den PC des Geldautomaten, auf dem Windows XP lief. Dieses Vorgehen deutet auf Insiderkenntnisse hin: Die Täter mussten vorab genau wissen, wo man beim Gehäuse ansetzen muss, um an den verbauten Rechner zu kommen. Die Angreifer leiteten einen Neustart ein, beim Booten setzte sich ihre Schadsoftware im Wirtssystem fest. Fortan lief auf dem Windows-Rechner im Geldautomaten das Bankraub-Programm parallel zur normalen Software. Die Täter kaschierten das kleine Loch im Gehäuse des Automaten so gut, dass es nicht auffiel.

Die Besonderheiten der Software:

  • Zwei-Faktor-Identifizierung: Wenn ein Handlanger der Täter zum Abheben an einen infizierten Automaten kommt, muss er sich zweimal bei der Bankraub-Software identifizieren. Im ersten Schritt tippt er eine zwölfstellige Kennnummer auf dem Nummernfeld des Automaten ein. Wurde die korrekte Zahl eingegeben, verschwindet die normale Oberfläche der Geldautomaten-Software, und die Abheber sehen eine Ziffernfolge auf dem Schirm. Sie rufen dann - das zeigen Überwachungsvideos - mit dem Handy jemanden an, lesen ihm die Ziffern vor und erhalten am Telefon den passenden Code. Erst die zweite Eingabe schaltet das eigentliche Abhebe-Menü frei: Jedes Scheinfach kann einzeln geleert werden.
  • Spuren verwischen: Die Entwickler der Software haben mit großer Sorgfalt Verfahren zum Tarnen ihrer Eingriffe eingebaut. Im Hauptmenü der Bankraub-Software können die Abheber die Netzwerkanbindung des Computers deaktivieren und nach dem Abheben wieder einschalten. Das soll vermutlich einen Echtzeit-Abgleich mit der Zentrale verhindern. Aus dem Hauptmenü lässt sich der Trojaner ebenfalls komplett vom Geldautomaten-PC entfernen. Die Software überschreibt dabei die Daten mehrfach, damit sich aus den verbliebenen Fragmenten möglichst nicht die Diebstahl-Software rekonstruieren lässt.
  • Zielgerichtete Angriffe: Die Täter haben offenbar genau gewusst, welche Automaten sie kapern. Die Sicherheitsforscher von CrowdStrike weisen darauf hin, dass die Täter die Kennnummern der Laufwerke in den Geldautomaten kannten. Auf dem beim Abheber sichergestellten USB-Stick fanden die Forscher Spuren maßgeschneiderter Angriffsprogramme für drei Automaten.

Um welche Bank es sich handelt, ist unklar - das Geldhaus bestand auf Vertraulichkeit. Die Screenshots der Bankraub-Software deuten auf Brasilien hin, aber das könnte auch ein Ablenkungsmanöver der Sicherheitsfirma sein.

Der Autor auf Facebook

lis

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 167 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Meister
altmannn 04.01.2014
Zitat von sysopYouTube/ Creative Commons Clevere Gangster haben Geldautomaten mit einem USB-Stick leergeräumt - mehrfach. Ihre Bankraub-Software verwischt die Spuren besser als bislang bekannte Programme. http://www.spiegel.de/netzwelt/web/diebstahl-per-usb-stick-a-941824.html
Ihres Faches. So ein bisschen muss man sie schon bewundern.
2.
senf-mit-sauce 04.01.2014
Zitat von altmannnIhres Faches. So ein bisschen muss man sie schon bewundern.
Ja, aber über etwas anderes: Ich kann an meinen Computern die Bootreihenfolge festlegen und auch die Geräte, von denen überhaupt gebootet wird. Booten die Computer in den Geldautomaten alles, was man anschliesst? Tastatur und Monitor wird's in dem kleinen Loch wohl kaum geben.
3. und die USB Stick Funktionalität ist nicht deaktiviert, weil?
teufelernie 04.01.2014
erbärmliche Anfänger, die IT vertragsklitsche der Bank...
4. Windows XP? Alles klar!
volatus123 04.01.2014
"Die betroffenen Geldautomaten haben die Täter so gekapert: Sie bohrten ein Loch in die Verkleidung und steckten einen USB-Stick in den PC des Geldautomaten, auf dem Windows XP lief."
5. Windows XP???
spon_1825802 04.01.2014
Ich stimme zu, diese Hacker sind Meister ihres Faches - aber wieso nutzen diese Geldautomaten immer noch Windows XP.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH





Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
SPIEGEL.TV
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: