Raffinierte Schadsoftware 06.01.2014, 11:20 Uhr

Kriminelle plündern Geldautomaten mit USB-Stick

Banken sehen sich mit einer neuen Generation des Überfalls konfrontiert: Mit einem Trojaner auf einem simplen USB-Stick ist es Kriminellen gelungen, Bankautomaten auszurauben. Fast wäre ihr Raubzug unbemerkt geblieben. 

Die Täter bohrten ein Loch in den Geldautomaten und steckten einen USB-Stick in den PC. Beim Booten installierte sich ein Trojaner, der fortan unbemerkt im Hintergrund lief. Über eine Codenummer konnten Komplizen über das Hauptmenü auf die Software zugreifen und Geld plündern. 

Die Täter bohrten ein Loch in den Geldautomaten und steckten einen USB-Stick in den PC. Beim Booten installierte sich ein Trojaner, der fortan unbemerkt im Hintergrund lief. Über eine Codenummer konnten Komplizen über das Hauptmenü auf die Software zugreifen und Geld plündern. 

Foto: dpa/Friso Gentsch

Zum ersten Mal hat eine Bank einen Geldautomatenhacker auf frischer Tat ertappt. Zunächst war Mitarbeitern aufgefallen, dass regelmäßig Bargeld aus dem Automaten verschwand, jedoch keine Transaktionen im System verbucht waren. Erste Stimmen munkelten, es könne sich um einen Hackerangriff handeln. Das Geldinstitut verschärfte daraufhin die Überwachung, installierte neue Kameras und beobachtete Kunden beim Geldabheben genauer als je zuvor.

Top Stellenangebote

Zur Jobbörse
LEONHARD WEISS GmbH & Co. KG-Firmenlogo
Kalkulator Schlüsselfertigbau (m/w/d) LEONHARD WEISS GmbH & Co. KG
Hamburg Zum Job 
Stadtwerke Heidelberg Netze GmbH-Firmenlogo
Ingenieur (m/w/i) Netzplanung / Netzberechnung Strom Stadtwerke Heidelberg Netze GmbH
Heidelberg Zum Job 
Technische Universität Wien-Firmenlogo
Universitätsprofessor_in für das Fachgebiet Stahlbeton- und Massivbau Technische Universität Wien
Wien (Österreich) Zum Job 
Herzog GmbH-Firmenlogo
Technischer Projektingenieur (m/w/d) Herzog GmbH
Schramberg Zum Job 
Stadt Erlangen-Firmenlogo
Verkehrsingenieur*in Zukunftsplan Fahrradstadt Stadt Erlangen
Erlangen Zum Job 
LEONHARD WEISS GmbH & Co. KG-Firmenlogo
Bauleiter Bauwerksinstandsetzung und Betonsanierung (m/w/d) LEONHARD WEISS GmbH & Co. KG
Hamburg Zum Job 
Hochschule Ruhr West-Firmenlogo
W2-Professur Digitale Methoden im konstruktiven Ingenieurbau Hochschule Ruhr West
Mülheim an der Ruhr Zum Job 
LEONHARD WEISS GmbH & Co. KG-Firmenlogo
Oberbauleiter Konstruktiver Ingenieur- und Brückenbau (m/w/d) LEONHARD WEISS GmbH & Co. KG
Hamburg Zum Job 
Stadt Karlsruhe-Firmenlogo
Ortsbaumeister*in Stadt Karlsruhe
Karlsruhe Zum Job 
Max Bögl Fertigteilwerke GmbH & Co. KG-Firmenlogo
Prozessingenieur (m/w/d) FTW Gera / Linthe Max Bögl Fertigteilwerke GmbH & Co. KG
Max Bögl Transport und Geräte GmbH & Co. KG-Firmenlogo
Bauingenieur / Holzbauingenieur (m/w/d) Max Bögl Transport und Geräte GmbH & Co. KG
Sengenthal bei Neumarkt in der Oberpfalz Zum Job 
Gottfried Wilhelm Leibniz Universität Hannover-Firmenlogo
Ingenieur/in (m/w/d, FH-Diplom oder Bachelor) der Fachrichtung Architektur oder Bauingenieurwesen, Schwerpunkt Hochbau Gottfried Wilhelm Leibniz Universität Hannover
Hannover Zum Job 
Nikola Iveco Europe GmbH-Firmenlogo
Component Design and Release Engineer (m/w/d) Elektronische High-Speed-Hardware Nikola Iveco Europe GmbH
Die Autobahn GmbH des Bundes-Firmenlogo
Ingenieurin oder Ingenieur Verkehrsbehörde (w/m/d) Die Autobahn GmbH des Bundes
Hannover, Bad Gandersheim Zum Job 
THOST Projektmanagement GmbH-Firmenlogo
Wirtschaftsjurist*in / Ingenieur*in (m/w/d) für Contract & Claimsmanagement in Energieprojekten THOST Projektmanagement GmbH
Berlin, Hamburg, Hannover Zum Job 
THOST Projektmanagement GmbH-Firmenlogo
Projektmanager*in (m/w/d) Bau-/ Immobilienprojekte THOST Projektmanagement GmbH
Köln, Dortmund, Essen Zum Job 
MicroNova AG-Firmenlogo
Qualitäts- / Prozessingenieur (w/m/x) Softwareentwicklung MicroNova AG
Vierkirchen Zum Job 
Thüringer Aufbaubank, AöR-Firmenlogo
Bauingenieur (m/w/d) Tiefbau Thüringer Aufbaubank, AöR
Nikola Iveco Europe GmbH-Firmenlogo
Leitender Ingenieur (m/w/d) für elektrische/elektronische Systemarchitektur Nikola Iveco Europe GmbH
Nikola Iveco Europe GmbH-Firmenlogo
Component Design & Release Engineer (m/w/d) Elektrische/Elektronische Fahrzeugkomponenten Nikola Iveco Europe GmbH

Schließlich stellten Sicherheitsleute einen Verdächtigen in flagranti. Sie untersuchten seine Taschen und fanden das Tatwerkzeug: einen USB-Stick. IT-Fachleute entdeckten darauf eine dubiose Schadsoftware, konnten sich jedoch deren Funktionsweise nicht erklären. Deswegen beauftragte die Bank die US-Firma CrowdStrike mit einer Analyse.

Raubzug wie im Hollywood-Film

Die Auswertung der Schadsoftware offenbarte einen raffinierten Digitalraubzug, den man sonst nur aus Hollywood-Filmen kennt. Schritt eins: Der Täter bohrt in einer Nacht-und-Nebel-Aktion ein Loch in das Gehäuse des Automaten und steckt einen USB-Stick in den PC. Er trennt diesen ganz kurz vom Strom und erzwingt somit einen Neustart. Beim Booten installiert sich automatisch eine Schadsoftware auf dem Windows-XP-Betriebssystem, die fortan unauffällig im Hintergrund läuft. Dann schließt der Täter das Loch wieder und geht.

Drahtzieher machen es sich im Hintergrund gemütlich

Da der Geldautomat nun infiltriert ist, kann es sich der Drahtzieher zuhause bequem machen. Es folgt Schritt zwei: Dabei stellt sich ein Komplize im Alltagsgeschäft wie ein ganz normaler Kunde an den Automaten . Allerdings tippt er keine vierstellige, sondern eine zwölfstellige Codenummer ein. Dann verschwindet die reguläre Bedienoberfläche und es öffnet sich die Hackersoftware, die eine Ziffernfolge darstellt.

Jetzt folgt ein seltsamer Zwischenschritt, der auf dem Überwachungsvideo dokumentiert ist: Der Mittäter greift zum Handy und ruft die Drahtzieher im Hintergrund an. Diese geben ihm einen passenden Code. Mit diesem kann er dann unauffällig Geld abheben. Nachdem er das Scheinfach geleert hat, verschwindet die Hackersoftware wieder vom Bildschirm, so als wäre nie etwas gewesen.

Fast wäre der Diebstahl unbemerkt geblieben 

Die Täter legten einigen Erfindergeist an den Tag, um ihre Spuren zu verwischen. So trennt die Schadsoftware während des Geldabhebens automatisch die Verbindung zum Internet,und damit die Verbindung zur Zentrale. Keine Chance für dortige Mitarbeiter, verdächtige IT-Aktivitäten zu bemerken.

Es ist zudem aus dem Hauptmenü möglich, die Software mit einem einfachen Befehl zu löschen. Die Daten werden dabei mehrfach überschrieben und zu Fragmenten zerhackt, die sich unmöglich rekonstruieren lassen. Es war also das Glück der Bank, den Täter in flagranti erwischt zu haben.

Unbekannt ist, welche Bank Opfer des Raubzugs geworden ist, denn diese besteht auf Vertraulichkeit. Einige Medien vermuten wegen eines im Internet kursierenden Screenshots der Software, es könne sich um eine brasilianische handeln. Vielleicht ist das aber auch nur ein Ablenkungsmanöver der Sicherheitsfirma. 

Ein Beitrag von:

  • Patrick Schroeder

    Patrick Schroeder arbeitet als freiberuflicher Journalist für Zeitschriften und Onlinemagazine wie die VDI Nachrichten und Ingenieur.de.

Themen im Artikel

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.