Bankautomaten per USB-Stick übernommen

Zwei nicht namentlich genannte Sicherheitsforscher haben auf dem 30. Chaos Communication Congress (30C3) vergangene Woche die Ergebnisse ihrer Untersuchung von Schadcode für Bankautomaten präsentiert. Dass Ganoven Geldautomaten mit Malware infizieren, ist zwar nicht neu, der von den Forschern analysierte Code ist allerdings außergewöhnlich komplex und enthält einige neue Funktionen, die vorher so noch nicht in freier Wildbahn beobachtet wurden.

Vier-Augen-Prinzip

Unter anderem benutzt der Code eine Challenge-Response-Abfrage, die es den Hintermännern offenbar erlaubt, genau zu kontrollieren, wer auf dem kompromittierten Automaten Geld abheben kann. Ist ein Automat gehackt, kommt man mit einem 12-stelligen Code in ein spezielles Benutzerinterface, welches genau anzeigt wie viele Scheine welchen Nennwertes in dem zum Automaten gehörenden Safe lagern. Will ein Ganove das Geld abheben, bekommt er einen Code genannt und muss diesen an einen der Hintermänner telefonisch durchgeben. Nur mit dem entsprechenden Antwort-Code von der Gegenseite kommt er an das Geld heran.

Die Malware enthält außerdem eine Kopie des Sysinternal-Tools sdelete, mit der sich bei Bedarf alle Spuren der Infektion vom Automaten entfernen lassen. Auch um diese Löschung vorzunehmen muss eine Challenge-Response-Authentifizierung durchgeführt werden. Weitere Funktionen erlauben es, die Netzwerkadapter des Geldautomaten ab- und wieder anzuschalten.

Bei ihren Nachforschungen entdeckten die Sicherheitsforscher, dass die Malware für jeden einzelnen Geldautomaten maßgeschneidert ist. Die DLL mit dem Exploit-Code wird demnach mit dem Volume-Serial der Festplatte des Geldautomaten verschlüsselt. Diese Identifikationsnummer wird bei der Formatierung der Festplatte erzeugt. Warum die Programmierer der Malware dies so gelöst haben, ist unbekannt. Die Forscher spekulieren, dass die Ganoven eventuell einen Insider in der betroffenen, nicht näher benannten Bank oder beim Hersteller der Automaten haben. Dafür würde auch die intime Kenntnisse der Automaten sprechen, die laut ihren Untersuchen nötig war um den Schadcode so spezifisch an die Bankautomaten anzupassen.

Hack per USB-Stick

Die Täter schnitten ein Loch in die Plastikverkleidung des mit Windows XP laufenden Automaten, um einen USB-Stick anschließen zu können. Das Loch verklebten die Ganoven nach getaner Arbeit wieder – und zwar so gut, dass es der Bank Monate lang nicht auffiel. Auf dem Stick befand sich eine Version von Hiren's BootCD, die automatisch gebootet wurde, wenn der Automat neu startet. Um dies zu erzwingen, trennten die Ganoven ihn wahrscheinlich kurzzeitig vom Strom. Die Boot-CD kopiert beim Start Daten von der Festplatte des Automaten – hierzu gehören unter anderem Kreditkartendaten und Transaktionsinformationen – und führt dann ein hack.bat genanntes Script aus. Dies installiert die Malware DLL und baut sie so in die den Windows Bootprozess ein, dass sie bei jedem Systemstart mit ausgeführt wird.

Der Code fängt danach alle Tasteneingaben ab und wird bei Eingabe des 12-stelligen Codes aktiv. Nun startet ein zweiter Windows-Desktop der die eigentlichen Geldautomatenfunktionen überlagert und das spezielle Interface zum Abheben des Geldes anzeigt. Wird der Automat für drei Minuten nicht benutzt – etwa weil der Ganove türmen musste – kehrt der Automat wieder in die normale Benutzeroberfläche zurück.

In flagranti erwischt

Eine Bank kam den Kriminellen auf die Schliche, weil immer wieder Geld aus den Tresoren der Automaten verschwand. Dank zusätzlicher Überwachungstechnik konnte ein Täter bei der Entnahme einer großen Geldmenge verhaftet werden. Auf einem an seinem Körper sichergestellten USB-Stick befand sich eine Kopie der Malware, deren Code Sicherheitsforscher dekompilieren konnten.

Laut den Forschern zeigten die Log-Dateien auf dem USB-Stick, dass dieser dazu benutzt wurde mindestens vier verschiedene Automaten zu übernehmen. Das Benutzerinterface der Malware war mit einer eindeutigen Bezeichnung für den Schadcode versehen, inklusive Versionsnummer. Im Rahmen ihrer Untersuchungen konnten sie später verfolgen, wie die Software auf infizierten Geldautomaten immer weiter verfeinert und verbessert wurde.

Update 03.01.2014 17:33: Den Text ergänzt, um klar zu machen, dass die Täter das Loch in der Verkleidung des Geldautomaten nach der Tat wieder verschlossen haben. (fab)