Bankautomaten per USB-Stick übernommen

[Satan_666]

Zitat:

Zwei nicht namentlich genannte Sicherheitsforscher haben auf dem 30. Chaos Communication Congress (30C3) vergangene Woche die Ergebnisse ihrer Untersuchung von Schadcode für Bankautomaten präsentiert. Dass Ganoven Geldautomaten mit Malware infizieren, ist zwar nicht neu, der von den Forschern analysierte Code ist allerdings außergewöhnlich komplex und enthält einige neue Funktionen, die vorher so noch nicht in freier Wildbahn beobachtet wurden.

Vier-Augen-Prinzip

Unter anderem benutzt der Code eine Challenge-Response-Abfrage, die es den Hintermännern offenbar erlaubt, genau zu kontrollieren, wer auf dem kompromittierten Automaten Geld abheben kann. Ist ein Automat gehackt, kommt man mit einem 12-stelligen Code in ein spezielles Benutzerinterface, welches genau anzeigt wie viele Scheine welchen Nennwertes in dem zum Automaten gehörenden Safe lagern. Will ein Ganove das Geld abheben, bekommt er einen Code genannt und muss diesen an einen der Hintermänner telefonisch durchgeben. Nur mit dem entsprechenden Antwort-Code von der Gegenseite kommt er an das Geld heran.

Die Malware enthält außerdem eine Kopie des Sysinternal-Tools sdelete, mit der sich bei Bedarf alle Spuren der Infektion vom Automaten entfernen lassen. Auch um diese Löschung vorzunehmen muss eine Challenge-Response-Authentifizierung durchgeführt werden. Weitere Funktionen erlauben es, die Netzwerkadapter des Geldautomaten ab- und wieder anzuschalten.

Bei ihren Nachforschungen entdeckten die Sicherheitsforscher, dass die Malware für jeden einzelnen Geldautomaten maßgeschneidert ist. Die DLL mit dem Exploit-Code wird demnach mit dem Volume-Serial der Festplatte des Geldautomaten verschlüsselt. Diese Identifikationsnummer wird bei der Formatierung der Festplatte erzeugt. Warum die Programmierer der Malware dies so gelöst haben, ist unbekannt. Die Forscher spekulieren, dass die Ganoven eventuell einen Insider in der betroffenen, nicht näher benannten Bank oder beim Hersteller der Automaten haben. Dafür würde auch die intime Kenntnisse der Automaten sprechen, die laut ihren Untersuchen nötig war um den Schadcode so spezifisch an die Bankautomaten anzupassen.

Hack per USB-Stick

Die Täter schnitten ein Loch in die Plastikverkleidung des mit Windows XP laufenden Automaten, um einen USB-Stick anschließen zu können. Das Loch verklebten die Ganoven nach getaner Arbeit wieder – und zwar so gut, dass es der Bank Monate lang nicht auffiel. Auf dem Stick befand sich eine Version von Hiren's BootCD, die automatisch gebootet wurde, wenn der Automat neu startet. Um dies zu erzwingen, trennten die Ganoven ihn wahrscheinlich kurzzeitig vom Strom. Die Boot-CD kopiert beim Start Daten von der Festplatte des Automaten – hierzu gehören unter anderem Kreditkartendaten und Transaktionsinformationen – und führt dann ein hack.bat genanntes Script aus. Dies installiert die Malware DLL und baut sie so in die den Windows Bootprozess ein, dass sie bei jedem Systemstart mit ausgeführt wird.

Der Code fängt danach alle Tasteneingaben ab und wird bei Eingabe des 12-stelligen Codes aktiv. Nun startet ein zweiter Windows-Desktop der die eigentlichen Geldautomatenfunktionen überlagert und das spezielle Interface zum Abheben des Geldes anzeigt. Wird der Automat für drei Minuten nicht benutzt – etwa weil der Ganove türmen musste – kehrt der Automat wieder in die normale Benutzeroberfläche zurück.

Quelle: http://www.heise.de/newsticker/meldu...n-2074773.html

Offenbar ist es bei dem aktuellen Gehaltsniveau für einen guten Software-Entwickler nicht mehr lukrativ genug, auf ehrliche Art sein Einkommen zu sichern?!

[Don Manuel]

Zitat:

Offenbar ist es bei dem aktuellen Gehaltsniveau für einen guten Software-Entwickler nicht mehr lukrativ genug, auf ehrliche Art sein Einkommen zu sichern?!

Generell wohl nicht zutreffend, aber im Einzelfall...

[J.F.Geilo]

1. Geldautomaten mit WindowsXP etc
2. Offenbar keine verschlüsselte Festplatte
3. Aktive USB-Ports !

[Don Manuel]

Quasi eine freundliche Einladung