Drei Möglichkeiten, einen Geldautomaten auszurauben: ferngesteuert, halb ferngesteuert und mit Gewalt

Wir haben drei Fälle von Geldautomatenraub erforscht – mithilfe ferngesteuerter Malware, einer Bluetooth-Tastatur und eines Bohrers.

Sie haben vielleicht bemerkt, dass wir Diebstahl mithilfe von Geldautomaten mögen. Nein, wir hacken sie nicht selber, aber wenn irgendjemand anderes das tut, stürzen wir uns direkt auf den Fall. Auf der SAS 2017, der zentralen Veranstaltung des Jahres zu Cybersicherheit, haben die Kaspersky Lab-Experten Sergey Golovanov und Igor Soumenkov über drei interessante Fälle berichtet.

Three ways to rob an ATM: Remote, almost remote, and physical

ATMitch — ferngesteuerte Malware

Der Geldautomat war leer. Das Untersuchungsteam der Bank fand keine bösartigen Dateien, keine fremden Fingerabdrücke, keine Spuren physischer Eingriffe am Gerät, keine hinzugefügten Leiterplatten oder andere Gerätschaften, die dazu benutzt werden konnten, die Kontrolle über die Maschine zu übernehmen. Sie fanden auch kein Geld mehr.

Was die Bankangestellten fanden, war lediglich eine Datei, „kl.txt“. Sie überlegten sich, dass „kl“ etwas mit „KL“ zu tun haben könnte — wie Sie wissen, Kaspersky Lab — also setzten sie sich mit uns in Verbindung und dadurch waren wir plötzlich damit befasst, in dem Fall zu ermitteln.

Wir mussten irgendwo mit der Untersuchung beginnen, also begannen unsere Ermittler damit, sich die Datei anzusehen. Auf der Grundlage der Inhalte der Logdatei konnten sie eine YARA-Regel entwickeln — YARA ist ein Tool zum Aufspüren von Malware; im Grunde genommen starteten sie eine Anfrage nach öffentlich zugänglichen Speicherorten von Malware. Sie nutzten es, um ein Original der Malware zu finden, und nach einem Tag erbrachte die Suche ein paar Ergebnisse: eine DLL „tv.dll“ genannt, die zu dieser Zeit bereits zweimal da draußen beobachtet worden war, einmal in Russland und einmal in Kasachstan. Das reichte aus, um damit zu beginnen, den Knoten zu entwirren.

Eine gründliche Untersuchung der DLL versetzte unsere Ermittler in die Lage, ein Reverse-Engineering des Angriffs durchzuführen und zu verstehen, wie er tatsächlich ausgeführt worden war und ihn sogar in unserem Versuchslabor an einem Testgeldautomaten mit Falschgeld zu wiederholen. Hier die Ergebnisse.

ATMitch bei der Arbeit

Der Angriff begann mit der Entdeckung einer bekannten Sicherheitslücke durch die Täter und dem Eindringen auf den Server der ausgesuchten Bank. (Hatten wir nicht darauf hingewiesen, dass das Updaten der Software ein Muss ist? Dies ist ein typisches Beispiel).

Die Angreifer nutzten Programme mit offenem Quellcode und öffentlich zugänglichen Tools, um die Computer in der Bank zu infizieren, aber die Malware, die sie entwickelt hatten, verbarg sich im Speicher der Computer und nicht auf ihren Festplatten. Dort gab es keine Dateien, sodass der Angriff nur sehr schwer zu entdecken war — er war grundsätzlich unsichtbar für die Sicherheitsvorkehrungen. Schlimmer noch, fast alle Spuren der Malware verschwanden, als das System neu gestartet wurde.

Die Angreifer richteten dann eine Verbindung zu ihrem Kommando- und Kontrollserver ein und das ermöglichte ihnen, ferngesteuert Software auf die Geldautomaten zu installieren.

Die betreffende Malware, ATMitch, wurde direkt von der Bank aus installiert und ausgeführt, unter Nutzung von Tools zur Fernsteuerung. Es wirkte wie ein normales Update, daher schrillten keine Alarmglocken bei den Sicherheitseinrichtungen in der Bank. Danach begann die Malware mit der Suche nach einer Datei mit dem Namen „command.txt“. Diese Datei enthält die Einzelzeichen-Kommandos, die den Geldautomaten kontrollieren. Z.B. steht „O“ für „Geldausgabe öffnen“.

Hier beginnt nun das Glück mit den Haupttreffern. Die Malware startet damit, den Geldbetrag, der sich im Automaten befindet, mithilfe eines Kommandos abzufragen, gefolgt von einem weiteren Kommando, mit dessen Unterstützung eine gewisse Anzahl von Abhebungen getätigt werden. Bis das Kommando gesendet wird, hat sich bereits ein Geldkurier vor Ort eingefunden, um das Geld an sich zu nehmen und zu verschwinden.

Die Kriminellen versuchten, keine Spuren zu hinterlassen, also gab es auch keine nachvollziehbaren Hinweise auf den Festplatten der Geldautomaten. Und nachdem das Geld ausgegeben worden war, hat ATMitch alle Informationen, die die Operation betrafen, in die Protokolldatei geschrieben und den Inhalt der Datei „command.txt“ gelöscht. Eine wichtige Anmerkung: ATMitch kann auf der überwiegenden Mehrzahl der vorhandenen Geldautomaten installiert werden — es ist nur erforderlich, dass der Geldautomat eine „XFS library“ unterstützt, und das tun die meisten Geldautomaten.

Sie finden zusätzliche Details zu ATMitch- Malware auf der „Securelist„.

Bl@ckb0x_m@g1k — ein einfacher, cleverer Trick

Die nächste Geschichte, die ebenfalls mit der Anfrage einer Bank begann, ist kürzer. Die Protokolldateien des Geldautomaten waren auch sauber. Die Festplatte war intakt und der Angreifer klebte die Kamera ab, sodass es kein Filmmaterial über das Geschehene gab.

Wir baten die Bank, uns den Geldautomaten in unsere Werkstatt zu liefern. Wir zerlegten ihn und machten eine erstaunliche Entdeckung — einen Bluetooth-Adapter, der mit dem USB-Hub des Geldautomaten verbunden war. Und auf der Festplatte befanden sich Treiber für eine Bluetooth-Tastatur.

Von da an war die Rekonstruktion des Raubes einfach. Jemand installierte einen Bluetooth-Adapter auf dem Geldautomaten und wartete drei Monate lang, bis die Protokolldateien wieder sauber waren. Dann kam der Kriminelle mit einer Bluetooth-Tastatur zurück, verdeckte die Sicherheitskameras, nutzte die Bluetooth-Tastatur, um den Geldautomaten im „Service-Mode“ neu zu starten und führte zum Schluss die Service-Operation durch, um die Geldausgabe zu leeren. Das war`s.

Der Bohrer — eine tatsächliche Bohrung

Einige Lösungen, wie z.B. ferngesteuerte Malware und Bluetooth-Tastaturen, erscheinen elegant. Der nächste Trick ist es nicht.

Die Geschichte beginnt wie die anderen, mit einer Bank, die Kontakt mit uns aufnahm mit der Bitte, noch einen weiteren Diebstahl an einem Geldautomaten aufzuklären. Dieses Mal hatten die Ermittler klare Beweise für einen physischen Eingriff gefunden: ein perfekt rund gebohrtes Loch mit ungefähr 4cm Durchmesser in der Nähe des Eingabefeldes. Und darüber hinaus nichts weiter. Geldautomaten wirken solide, aber sie haben auch Kunststoffteile. Und wie Sie wissen, kann man diese leicht anbohren.

Innerhalb kürzester Zeit gab es einige ähnliche Fälle in Russland und Europa. Als die Polizei einen Verdächtigen mit Laptop und einigen elektrischen Verkabelungen festnahm, wurde das Bild klarer.

Wie bereits erwähnt, verfügen wir über einen Geldautomaten in unserem Labor, also nahmen wir ihn auseinander, um herauszufinden, wie der Angreifer einen Zugang zu erreichen suchte, indem er das Bohrloch nutzte. Wir entdeckten eine 10-polige Buchse, verbunden mit einer Verteilerschiene, die grundsätzlich alle Komponenten des Geldautomaten miteinander verband — vom internen Computer bis zur Geldausgabe.

Wir entdeckten ebenfalls ein äußerst schwaches Verschlüsselungsprogramm, das man in kürzester Zeit knacken konnte.

Zusammenfassung: Jedes beliebige Bauteil des Geldautomaten konnte alle anderen Teile kontrollieren, es gab keine Authentifizierung zwischen den Elementen (somit könnte jedes Teil ersetzt werden, ohne dass die anderen es registrieren würden) und die Kontrollkommandos waren sehr leicht zu verstehen. Erscheint das sicher?

Wir benötigten rund 15 US Dollar und ein wenig Zeit, um eine einfache Leiterplatine herzustellen, mit der man den Geldautomaten kontrollieren konnte, sobald sie mit dem seriellen Bus verbunden war. Unter Anwendung davon konnten wir unseren Testgeldautomaten dazu bringen, (Falsch-) Geld auszugeben. Es ist sehr wahrscheinlich, dass Kriminelle denselben Trick bei aktuellen Geldautomaten mit richtigem Geld angewandt haben, aber sie benötigten dafür einen Laptop.

Wir informierten die Bank über unsere Ergebnisse, aber hier gibt es das Problem, wie Igor Soumenkov deutlich macht, dass die Geldautomaten keine ferngesteuerten Updates erhalten können. Schwachstellen zu beseitigen erfordert ein Update der Hardware, und dafür wiederum benötigt man einen Techniker, der den Geldautomaten aufsucht — oder, in der Tat, jede Menge Geldautomaten.

Was nun?

Letztendlich, wenn Sie nicht zufällig Bankangestellter sind, haben Sie mit den zuvor erwähnten Bedrohungen nichts zu tun. Sie sind ein Problem der Banken, nicht Ihres. Falls Sie jedoch in einer Bank arbeiten und irgendwie Einfluss auf die Schutzvorkehrungen bei Geldautomaten haben, können wir Sie in Bezug auf ATMitch- Malware unterstützen, mit allem, was die Sicherheitslösungen von Kaspersky Lab hergeben. Aber wir verfügen über kein Protokoll zur Verhinderung von Bohrungen. Die müssen Sie und Ihre Sicherheitskameras entdecken.

Tipps