Raffinierte Schadsoftware 06.01.2014, 11:20 Uhr

Kriminelle plündern Geldautomaten mit USB-Stick

Banken sehen sich mit einer neuen Generation des Überfalls konfrontiert: Mit einem Trojaner auf einem simplen USB-Stick ist es Kriminellen gelungen, Bankautomaten auszurauben. Fast wäre ihr Raubzug unbemerkt geblieben. 

Die Täter bohrten ein Loch in den Geldautomaten und steckten einen USB-Stick in den PC. Beim Booten installierte sich ein Trojaner, der fortan unbemerkt im Hintergrund lief. Über eine Codenummer konnten Komplizen über das Hauptmenü auf die Software zugreifen und Geld plündern. 

Die Täter bohrten ein Loch in den Geldautomaten und steckten einen USB-Stick in den PC. Beim Booten installierte sich ein Trojaner, der fortan unbemerkt im Hintergrund lief. Über eine Codenummer konnten Komplizen über das Hauptmenü auf die Software zugreifen und Geld plündern. 

Foto: dpa/Friso Gentsch

Zum ersten Mal hat eine Bank einen Geldautomatenhacker auf frischer Tat ertappt. Zunächst war Mitarbeitern aufgefallen, dass regelmäßig Bargeld aus dem Automaten verschwand, jedoch keine Transaktionen im System verbucht waren. Erste Stimmen munkelten, es könne sich um einen Hackerangriff handeln. Das Geldinstitut verschärfte daraufhin die Überwachung, installierte neue Kameras und beobachtete Kunden beim Geldabheben genauer als je zuvor.

Top Stellenangebote

Zur Jobbörse
Verkehrsbetriebe Karlsruhe GmbH-Firmenlogo
Bauingenieur*in / Techniker*in (m/w/d) als Projektleiter*in Infrastrukturanlagen Verkehrsbetriebe Karlsruhe GmbH
Karlsruhe Zum Job 
Stadtwerke München GmbH-Firmenlogo
Fachteamleiter*in leichte Instandhaltung Betriebshof Tram (m/w/d) Stadtwerke München GmbH
München Zum Job 
Universitätsklinikum Tübingen-Firmenlogo
Datenanalystin / Datenanalysten als stellv. Abteilungsleitung Gebäudeautomation (w/m/d) Universitätsklinikum Tübingen
Tübingen Zum Job 
Papierfabrik Louisenthal GmbH-Firmenlogo
Qualitätssicherer (m/w/d) Werk Folie Papierfabrik Louisenthal GmbH
MAGNA STEYR Engineering Germany GmbH-Firmenlogo
Ingenieur Fahrzeug-Netzwerkintegration im Bereich Elektrik/Elektronik (E/E) (m/w/x) MAGNA STEYR Engineering Germany GmbH
Sindelfingen Zum Job 
MAGNA STEYR Engineering Germany GmbH-Firmenlogo
Bauteilverantwortlicher im Bereich Elektrik/Elektronik (m/w/x) MAGNA STEYR Engineering Germany GmbH
Sindelfingen Zum Job 
MAGNA STEYR Engineering Germany GmbH-Firmenlogo
Automotive Cyber Security Koordinator im Bereich Elektrik/Elektronik (E/E) (m/w/x) MAGNA STEYR Engineering Germany GmbH
Sindelfingen Zum Job 
GSW Gemeinschaftsstadtwerke GmbH Kamen, Bönen, Bergkamen-Firmenlogo
Planungsingenieur (m/w/d) GSW Gemeinschaftsstadtwerke GmbH Kamen, Bönen, Bergkamen
PASS GmbH & Co. KG-Firmenlogo
Ingenieur für Anlagentechnik und Prozessautomatisierung (m/w/x) PASS GmbH & Co. KG
Schwelm Zum Job 
IMS Messsysteme GmbH-Firmenlogo
Projektleiter (m/w/i) Vertrieb IMS Messsysteme GmbH
Heiligenhaus Zum Job 
Handtmann Systemtechnik GmbH & Co. KG-Firmenlogo
Versuchsingenieur (m/w/d) Hochvolt-Batterie Handtmann Systemtechnik GmbH & Co. KG
Biberach an der Riß Zum Job 
Stadtwerke München GmbH-Firmenlogo
Projektleitung Großprojekte Hochspannungsnetze (m/w/d) Stadtwerke München GmbH
München Zum Job 
SWM Services GmbH-Firmenlogo
Projektleitung Großprojekte Netzinfrastruktur (m/w/d) SWM Services GmbH
München Zum Job 
Stadtwerke München GmbH-Firmenlogo
Planung Netztrafostationen (m/w/d) Stadtwerke München GmbH
München Zum Job 
SWM Services GmbH-Firmenlogo
Projektentwickler*in Freiflächen PV (m/w/d) SWM Services GmbH
München Zum Job 
Störk-Tronic, Störk GmbH & Co. KG-Firmenlogo
Anforderungsingenieur für elektronische Regelungssysteme (m/w/d) Störk-Tronic, Störk GmbH & Co. KG
Stuttgart Zum Job 
Verpa Folie Weidhausen GmbH-Firmenlogo
Kunststoffingenieur für die Entwicklungsabteilung (m/w/d) Verpa Folie Weidhausen GmbH
Weidhausen bei Coburg Zum Job 
Delphin Technology AG-Firmenlogo
Technical Sales Manager (m/w/d) Delphin Technology AG
Bergisch Gladbach (Refrath) Zum Job 
Sakret Bausysteme GmbH & Co. KG-Firmenlogo
Bauingenieur als Gebietsleiter (m/w/d) Betoninstandsetzung Sakret Bausysteme GmbH & Co. KG
Baden-Württemberg Zum Job 
Fresenius Kabi Deutschland GmbH-Firmenlogo
Internationaler Projektingenieur (m/w/d) Fresenius Kabi Deutschland GmbH
Friedberg Zum Job 

Schließlich stellten Sicherheitsleute einen Verdächtigen in flagranti. Sie untersuchten seine Taschen und fanden das Tatwerkzeug: einen USB-Stick. IT-Fachleute entdeckten darauf eine dubiose Schadsoftware, konnten sich jedoch deren Funktionsweise nicht erklären. Deswegen beauftragte die Bank die US-Firma CrowdStrike mit einer Analyse.

Raubzug wie im Hollywood-Film

Die Auswertung der Schadsoftware offenbarte einen raffinierten Digitalraubzug, den man sonst nur aus Hollywood-Filmen kennt. Schritt eins: Der Täter bohrt in einer Nacht-und-Nebel-Aktion ein Loch in das Gehäuse des Automaten und steckt einen USB-Stick in den PC. Er trennt diesen ganz kurz vom Strom und erzwingt somit einen Neustart. Beim Booten installiert sich automatisch eine Schadsoftware auf dem Windows-XP-Betriebssystem, die fortan unauffällig im Hintergrund läuft. Dann schließt der Täter das Loch wieder und geht.

Drahtzieher machen es sich im Hintergrund gemütlich

Da der Geldautomat nun infiltriert ist, kann es sich der Drahtzieher zuhause bequem machen. Es folgt Schritt zwei: Dabei stellt sich ein Komplize im Alltagsgeschäft wie ein ganz normaler Kunde an den Automaten . Allerdings tippt er keine vierstellige, sondern eine zwölfstellige Codenummer ein. Dann verschwindet die reguläre Bedienoberfläche und es öffnet sich die Hackersoftware, die eine Ziffernfolge darstellt.

Jetzt folgt ein seltsamer Zwischenschritt, der auf dem Überwachungsvideo dokumentiert ist: Der Mittäter greift zum Handy und ruft die Drahtzieher im Hintergrund an. Diese geben ihm einen passenden Code. Mit diesem kann er dann unauffällig Geld abheben. Nachdem er das Scheinfach geleert hat, verschwindet die Hackersoftware wieder vom Bildschirm, so als wäre nie etwas gewesen.

Fast wäre der Diebstahl unbemerkt geblieben 

Die Täter legten einigen Erfindergeist an den Tag, um ihre Spuren zu verwischen. So trennt die Schadsoftware während des Geldabhebens automatisch die Verbindung zum Internet,und damit die Verbindung zur Zentrale. Keine Chance für dortige Mitarbeiter, verdächtige IT-Aktivitäten zu bemerken.

Es ist zudem aus dem Hauptmenü möglich, die Software mit einem einfachen Befehl zu löschen. Die Daten werden dabei mehrfach überschrieben und zu Fragmenten zerhackt, die sich unmöglich rekonstruieren lassen. Es war also das Glück der Bank, den Täter in flagranti erwischt zu haben.

Unbekannt ist, welche Bank Opfer des Raubzugs geworden ist, denn diese besteht auf Vertraulichkeit. Einige Medien vermuten wegen eines im Internet kursierenden Screenshots der Software, es könne sich um eine brasilianische handeln. Vielleicht ist das aber auch nur ein Ablenkungsmanöver der Sicherheitsfirma. 

Ein Beitrag von:

  • Patrick Schroeder

    Patrick Schroeder arbeitet als freiberuflicher Journalist für Zeitschriften und Onlinemagazine wie die VDI Nachrichten und Ingenieur.de.

Themen im Artikel

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.