Jackpotting: Kriminelle plĂĽndern Geldautomaten in den USA
Als Techniker getarnt schleusen Kriminelle in den USA Malware auf Geldautomaten, um anschlieĂźend nach Herzenslust beliebige Summen abzuheben. Der verwendete Schadcode hat das Potenzial zum weltweiten Einsatz.
Der US-amerikanische Secret Service soll in den vergangenen Wochen mehrere Geldautomatenhersteller – darunter Diebold Nixdorf und die NCR Corporation – vor zunehmenden Jackpotting-Angriffen auf Geldautomaten in den USA gewarnt haben. Das geht unter anderem aus einem Blogeintrag des Sicherheitsforschers Brian Krebs hervor.
Jackpotting bezeichnet die Manipulation von Geldautomaten mittels Schadsoftware, um Sicherheitsmechanismen auszuhebeln und letztlich den kompletten Bargeldbestand zu plĂĽndern. Der Begriff geht auf den 2013 verstorbenen Hacker Barnaby Jack zurĂĽck, der die Technik 2010 im Rahmen eines Vortrags mit dem Titel "Jackpotting Automated Teller Machines" vorstellte.
Einer von Krebs anonym zitierten Quelle zufolge begannen die Kriminellen in der zweiten Januarhälfte eine Reihe "koordinierter Angriffe" auf Diebold-Geldautomaten. Es gebe Hinweise darauf, dass landesweit weitere Angriffe geplant seien.
Angriff mit dem Endoskop
Diebold Nixdorf hat mittlerweile einen Sicherheitshinweis für seine Kunden veröffentlicht. Aus ihm geht hervor, dass die aktuellen Jackpotting-Aktivitäten primär auf relativ kleine, freistehende Automaten-Modelle aus der "Opteva"-Serie des Herstellers abzielen, bei denen sich das Geld in der Vorderseite befindet ("front-loaded"). Diebold empfiehlt Betreibern solcher Automaten, die Firmware zu aktualisieren, auf verschlüsselte Kommunikation zu setzen und Vorkehrungen zu treffen, um den physischen Zugriff zu erschweren.
Krebs liegt nach eigenen Angaben ein vertrauliches Dokument des Secret Service vor, laut dem die aktuelle Jackpotting-Kampagne eine neue Variante einer bereits seit 2013 bekannten und initial in Mexiko gesichteten Malware einsetzt. Der Sicherheitssoftware-Hersteller FireEye hat ihr den Alias Ploutus.D zugedacht und Anfang 2017 eine detaillierte Analyse veröffentlicht.
Laut Secret Service verwenden die (typischerweise als Techniker getarnten) Angreifer ein Endoskop, um in die Automaten zu blicken, auf diese Weise einen mitgebrachten Laptop mit ihnen zu verkabeln und dann die Malware aufzuspielen. Die auf diese Weise präparierten Geldautomaten erwecken anschließend den Anschein, außer Betrieb zu sein – der Schadcode erlaubt jedoch deren Fernsteuerung, um sie zum Ausspucken beliebiger Geldbeträge zu bewegen.
Jackpotting auch in Deutschland ein Thema
Im Vergleich zu den USA kommen Jackpotting-Angriffe in Europa häufiger vor: In Deutschland manipulierte zuletzt 2015 ein Ganove die Steuerungselektronik von Geldautomaten mit einem USB-Stick, um sich größere Geldbeträge auszahlen zu lassen.
Bislang zielen alle von FireEye analysierten Ploutus.D-Samples auf Diebold-Automaten ab. Das muss aber nicht so bleiben: Minimale Code-Veränderungen würden Angriffe auf Automatenmodelle von 40 Herstellern in insgesamt 80 Ländern ermöglichen. Die von Ploutus attackierte, herstellerunabhängige Software Kalignite läuft auch auf deutschen Geldautomaten.
Nicht besonders überraschend ist die Tatsache, dass laut Secret Service Geldautomaten, auf denen noch immer Windows XP läuft, besonders anfällig für die aktuelle Malware-Kampagne sind. Er rät Geldautomatenbetreibern zum Umstieg auf Windows 7, um Angriffe mit Ploutus abzuwehren. (ovw)