Millionen US-Dollar von 50 ATMs in Russland erbeutet

Hauptsächlich russische Banken sind Opfer von Kriminellen geworden, die offenbar wussten, das ein bestimmtes ATM-Modell von NCR kein Alarm-System hat. Laut Kaspersky Lab – die zur forensischen Untersuchung hinzugezogen wurden – erbeuteten die Kriminellen einen Millionenbetrag mit einem Schädling namens “Backdoor.MSIL.Tyupkin”. Die Schwachstelle: Ein CD-ROM-Laufwerk.

Im Zuge einer Untersuchung hat das Analysten-Team von Kaspersky Lab (Kasperskys Global Research and Analysis Team, GReAT) auf Anfrage einer Finanzinstitution forensische Ermittlungen bezüglich Attacken auf zahlreiche Geldautomaten in Osteuropa durchgeführt. Dabei entdeckten die Experten ein Stück Schadsoftware namens „Tyupkin“, das die verwundbaren Automaten infizierte und den Angreifern auf diese Weise ermöglichte, sie mittels Manipulation zu leeren. Da Kaspersky Lab mit den internationalen Polizeibehörden Interpol und Europol zusammenarbeitet, hat Interpol die Ermittlungen zu den Angriffen auf Bankautomaten aufgenommen. Die Ermittlungen sind noch am Laufen. 

NCR empfiehlt seit vielen Jahren Geldautomaten gegen Malware zu schützen und bestimmte ATM-Modelle (wie zum Beispiel “Durch-die-Wand”-Systeme) einzusetzen, die für unbeaufsichtigte Umgebungen geeignet sind.”

Mittlerweile ist bekannt, dass 50 ATMs in Osteuropa von der Malware betroffen waren. Auf Grund der Daten von “VirusTotal” glaubt Kaspersky Lab aber, dass sich das Schadprogramm auch in anderen Ländern/Regionen ausgebreitet hat (USA, Indien, China). Es könnten also deutlich mehr als 50 ATMs betroffen sein.

Gezielt nur gegen Automaten ohne Alarmsystem

Der Angriff durch die Kriminellen lief in zwei Phasen ab. Zuerst verschaffen sie sich direkten Zugriff zum System des Geldautomaten und legen eine bootfähige CD ein, welche die Schadsoftware „Tyupkin“ installiert. Nachdem sie das System neu gestartet haben, befindet sich der infizierte Bankautomat unter der Kontrolle der Angreifer.

Nach erfolgreicher Infizierung startet die Schadsoftware eine Endlosschleife und wartet auf Befehle. Damit die Manipulation schwerer zu erkennen ist, akzeptiert „Tyupkin“ nur zu bestimmten Zeiten (Sonntag und Montag nachts) Befehle. Während dieser Zeiträume sind die Kriminellen tätig und somit in der Lage, Geld aus den infizierten Automaten zu stehlen.

Videomaterial aus Überwachungskameras an den infizierten Geldautomaten zeigen die Methoden, mit denen die Kriminellen an das Bargeld gelangten. Für jede „Sitzung“ wird zunächst eine einzigartige Kombination aus zufälligen Zahlen generiert. Damit wird sichergestellt, dass keine Person außerhalb der kriminellen Gruppierung versehentlich von dem Betrug profitiert. Anschließend erhält der Täter, der den Diebstahl ausführt, Anweisungen über das Telefon von einem anderen Mitglied der Gruppierung. Dieser Operator kennt den Algorithmus und ist in der Lage, einen Schlüssel für die jeweilige Sitzung auf Basis der angezeigten Nummern zu generieren. Dies stellt sicher, dass die Personen, welche das Bargeld stehlen, nicht im Alleingang handeln.
Wenn der Schlüssel korrekt eingegeben wurde, zeigt der Geldautomat an, wie viel Bargeld in jeder Geldkassette verfügbar ist, und fordert die ausführende Person auf, eine Kassette zu wählen. Danach gibt der Geldautomat jeweils 40 Banknoten von der ausgewählten Kassette aus.

Owen Wild, Global Marketing Director, Security and Compliance Solutions der NCR stellt in dem Zusammenhang klar: “Malware ist eine erhebliche Bedrohung für die Sicherheit von ATMs weltweit. Es ist wichtig das Finanzinstitute Maßnahmen ergreifen, um ihre Netzwerke zu schützen. Dazu gehört das Ändern von BIOS-Passwörtern, die ATMs auf das lokale Booten zu begrenzen und eine Software-Whitelisting-Anwendung wie Solidcore Suite für APTRA einzusetzen.”

„Wir raten Banken dringend, die physische Sicherheit ihrer Geldautomaten sowie die Netzwerk-Infrastruktur zu überprüfen und in hochqualitative Sicherheitslösungen zu investieren.“

In den letzten Jahren konnte Kaspersky eine Zunahme von Angriffen gegen Geldautomaten mithilfe von Skimming-Geräten und Schadsoftware beobachten. Die Bedrohungslage hat sich dahingehend verändert, dass Cyberkriminelle Banken nun direkt angreifen. Sie tun dies, indem sie entweder die Geldautomaten infizieren oder einen direkten Angriff im APT-Stil gegen die Banken starten. “Der Tyupkin-Schädling ist ein Beispiel dafür, wie Angreifer die Schwachstellen in der Infrastruktur der Geldautomaten ausnutzen“, erklärt Vicente Diaz, Principal Security Researcher bei Kaspersky Lab.

„Die Täter suchen fortwährend neue Wege, um Methoden weiterzuentwickeln, mit denen sie diese Verbrechen begehen können. Es ist wichtig, dass wir die Strafverfolgung in unseren Mitgliedstaaten aufrechterhalten und über aktuelle Trends und Vorgehensweisen informieren“, sagt Sanjay Virmani, Direktor des Interpol Digital Crime Centre.