Der Tag im Überblick: Alle MeldungenTechnologie

Kaspersky Lab und Interpol warnen vor Diebstählen an infizierten Geldautomaten

Moskau/lngolstadt, 07. Oktober 2014 – Untersuchungen [1] von Kaspersky Lab ergaben, dass Cyberkriminelle Geldautomaten auf der ganzen Welt angegriffen haben und Geldbeträge in Millionenhöhe erbeuteten. Im Zuge ihrer forensischen Untersuchungen entdeckten die Kaspersky-Experten ein Stück Schadsoftware namens „Tyupkin“, das die Automaten infizierte und den Angreifern auf diese Weise ermöglichte, sie mittels Manipulation zu leeren. Interpol hat die betroffenen Mitgliedstaaten gewarnt und unterstützt die laufenden Ermittlungen.

Der Angriff durch die Kriminellen läuft in zwei Phasen ab. Zuerst verschaffen sie sich direkten Zugriff zum System des Geldautomaten und legen eine bootfähige CD ein, welche die Schadsoftware „Tyupkin“ installiert. Nachdem sie das System neu gestartet haben, befindet sich der infizierte Bankautomat unter der Kontrolle der Angreifer.

Nach erfolgreicher Infizierung startet die Schadsoftware eine Endlosschleife und wartet auf Befehle. Damit die Manipulation schwerer zu erkennen ist, akzeptiert „Tyupkin“ nur zu bestimmten Zeiten (Sonntag und Montag nachts) Befehle. Während dieser Zeiträume sind die Kriminellen tätig und somit in der Lage, Geld aus den infizierten Automaten zu stehlen.

Videomaterial aus Überwachungskameras an den infizierten Geldautomaten zeigen die Methoden, mit denen die Kriminellen an das Bargeld gelangten. Für jede „Sitzung“ wird zunächst eine einzigartige Kombination aus zufälligen Zahlen generiert. Damit wird sichergestellt, dass keine Person außerhalb der kriminellen Gruppierung versehentlich von dem Betrug profitiert. Anschließend erhält der Täter, der den Diebstahl ausführt, Anweisungen über das Telefon von einem anderen Mitglied der Gruppierung. Dieser Operator kennt den Algorithmus und ist in der Lage, einen Schlüssel für die jeweilige Sitzung auf Basis der angezeigten Nummern zu generieren. Dies stellt sicher, dass die Personen, welche das Bargeld stehlen, nicht im Alleingang handeln.

Wenn der Schlüssel korrekt eingegeben wurde, zeigt der Geldautomat an, wie viel Bargeld in jeder Geldkassette verfügbar ist, und fordert die ausführende Person auf, eine Kassette zu wählen. Danach gibt der Geldautomat jeweils 40 Banknoten von der ausgewählten Kassette aus.

Infizierte Automaten auch in Europa

Auf Anfrage einer Finanzinstitution führte das Kaspersky Lab Global Research and Analysis Team (GReAT) eine forensische Untersuchung des Cyberangriffs durch. Die Schadsoftware wurde von Kaspersky Lab als Backdoor.MSIL.Tyupkin identifiziert und benannt. Sie wurde bisher in Geldautomaten in Europa, Lateinamerika und Asien vor.

„In den letzten Jahren konnten wir eine Zunahme von Angriffen gegen Geldautomaten mithilfe von Skimming-Geräten und Schadsoftware beobachten. Die Bedrohungslage hat sich dahingehend verändert, dass Cyberkriminelle Banken nun direkt angreifen. Sie tun dies, indem sie entweder die Geldautomaten infizieren oder einen direkten Angriff im APT-Stil gegen die Banken starten. Der Tyupkin-Schädling ist ein Beispiel dafür, wie Angreifer die Schwachstellen in der Infrastruktur der Geldautomaten ausnutzen“, erklärt Vicente Diaz, Principal Security Researcher bei Kaspersky Lab. „Wir raten Banken dringend, die physische Sicherheit ihrer Geldautomaten sowie die Netzwerk-Infrastruktur zu überprüfen und in hochqualitative Sicherheitslösungen zu investieren.“

„Die Täter suchen fortwährend neue Wege, um Methoden weiterzuentwickeln, mit denen sie diese Verbrechen begehen können. Es ist wichtig, dass wir die Strafverfolgung in unseren Mitgliedstaaten aufrechterhalten und über aktuelle Trends und Vorgehensweisen informieren“, sagt Sanjay Virmani, Direktor des Interpol Digital Crime Centre.

Ein Video, das die Methoden der Cyberkriminellen beim Angriff gegen Geldautomaten zeigt, ist hier verfügbar: