Infizierte Geldautomaten spuckten Millionen Euro aus

7 Okt 2014

Was brauchen Sie, um Geld aus einem Geldautomaten zu holen? Zum einen natürlich Ihre EC- oder Kreditkarte, die als Schlüssel zu Ihrem Bankkonto fungiert. Dann müssen Sie Ihren PIN-Code für die Karte wissen und zudem muss etwas Geld auf Ihrem Konto haben. Für Hacker funktioniert das aber manchmal anders: Sie brauchen keine Karten, PIN-Codes und Bankkonten, um Geld zu bekommen. Sie brauchen nur einen Geldautomaten, in dem ein bisschen Bargeld liegt sowie eine ganz spezielle Software.

Sporteli bancari

Anfang des Jahres haben unsere Kollegen des Global Research and Analysis Teams (GReAT) auf Anfrage einer Bank eine forensische Untersuchung einer Hacker-Attacke auf verschiedene Geldautomaten in Osteuropa durchgeführt. Und was sie entdeckten, ist ziemlich beeindruckend. Stellen Sie sich einmal vor, jemand geht zu einem Geldautomaten, gibt einen Code ein und erhält dann 40 Banknoten, dann noch mehr Geld, dann wieder und wieder und wieder. Wie kann das möglich sein? Unsere Experten haben herausgefunden, dass das durch einen Trojaner namens Tyupkin möglich wurde, der den PC in den Geldautomaten infizierte und sie gezwungen hat, Geld auszuspucken, wenn ein bestimmter Code eingegeben wird.

Wie sich bei der Untersuchung zeigte, erlangten die Kriminellen irgendwie physikalischen Zugriff auf die Geldautomaten, so dass sie ihr Schadprogramm über eine bootbare CD auf dem eingebauten Windows-Computer installieren konnten. Der Trojaner selbst hatte zudem einige interessante Fähigkeiten: Sobald er auf den Geldautomaten aktiviert war, konnte er die Schutzsoftware McAfee Solidcare AV ausschalten, um ohne Störungen seinem kriminellen Werk nachgehen zu können.

Und um eine zufällige Entdeckung zu verhindern, konnte der Trojaner eine ganze Woche lang im Stand-By-Modus bleiben und sich nur am Sonntag oder am Montag-Abend aktivieren. Zudem konnte er im Notfall das lokale Netzwerk abschalten, so dass die Bank nicht aus der Ferne auf den Geldautomaten zugreifen konnte, um ihn zu überprüfen.

Der Kriminelle gibt nur ein paar Codes in den infizierten Geldautomaten ein – und schon kommt Geld heraus!

Dank dieser Funktionen mussten die Hacker nur zu einem infizierten Geldautomaten gehen und einen speziellen PIN-Code eingeben, um ein geheimes Menü zu öffnen, über das Geld angefordert oder der Trojaner kontrolliert (zum Beispiel auch gelöscht) werden konnte. Für so eine „Abbuchung“ musste man nicht nur das passende Kommando kennen, sondern auch eine spezielle Formel, mit der ein Session-Key berechnet werden kann – eine Art Zwei-Faktoren-Authentifizierung. Wenn beide Codes richtig eingegeben wurden, erschien ein zweites Menü, mit dem der Kriminelle die Kassettennummer auswählen und das Geld auswerfen lassen konnte. Davon abgesehen, dass pro Auszahlung nur bis zu 40 Geldscheine ausgegeben werden können, war es damit möglich, jeden beliebigen Betrag aus dem Geldautomaten zu holen, man musste die gleichen Schritte nur mehrmals wiederholen.

Ohne große Umschweife konnten die Hacker damit Hunderttausende Euro aus Geldautomaten holen, ohne damit die Aufmerksamkeit auf sich zu lenken. Wie Vicente Diaz, Principal Security Researcher bei Kaspersky Lab, sagt, können Hacker nur bestimmte Module von Geldautomaten infizieren, doch die Zahl der gehackten Geldautomaten wird sich auf jeden Fall erhöhen, so lange Banken und Automatenhersteller den Schutz dieser Maschinen nicht verbessern, sowohl physikalisch als auch auf Ebene der Software.