Criminelen stalen met malware geld uit Oost-Europese geldautomaten

Criminelen hebben met behulp van malware in Oost-Europa miljoenen dollars gestolen uit geldautomaten. De malware zorgde ervoor dat de geldautomaat op commando geldbiljetten gaf aan de aanvallers. Mogelijk zijn ook Franse en Amerikaanse banken geïnfecteerd.

De malware, die door Kaspersky Tyupkin is gedoopt, installeerde een speciaal menu voor de criminelen waarmee geld uit de automaat kon worden gehaald. Kaspersky stelt dat vijftig geldautomaten van één bepaalde fabrikant in Oost-Europa zijn geïnfecteerd. Uit samples van de malware, die naar de website VirusTotal zijn geupload, blijkt dat mogelijk ook in Frankrijk en de Verenigde Staten infecties zijn gesignaleerd.

De malware probeerde herkenning te voorkomen door enkel op bepaalde tijden 's nachts actief te zijn. Op die tijden moest de aanvaller een code invoeren, gevolgd door een unieke sleutel, om te voorkomen dat anderen dan de aanvallers de malware per ongeluk zouden activeren. De aanvallers zouden miljoenen euro's hebben buitgemaakt.

De aanvallers installeerden de malware via een cd op de software van de geldautomaten. De automaten draaien op een 32bit-versie van Windows. Waarschijnlijk gebruikten ze kwetsbaarheden in het besturingssysteem om de malware te installeren.

Op de CCC-beveiligingsconferentie in december vorig jaar deden andere onderzoekers een vergelijkbare aanval uit de doeken, die zich op een Braziliaanse bank zou richten. Daarbij werd de pinautomaat stukgeslagen om toegang te krijgen tot een verborgen usb-ingang, waarna de malware met een usb-stick werd ingebracht.

Helaas!
De video die je probeert te bekijken is niet langer beschikbaar op Tweakers.net.

IT-banen

Reacties (64)

pietje63 7 oktober 2014 17:32

Kwetsbaarheden in het besturingssysteem, is dat wel nodig?

Er werd gebruik gemaakt van een bootable CD.
Stap 1: bootable CD start op
Stap 2: OS op bootable CD kopieert bestand
C:\Windows\system32\ulssm.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\AptraDebug.lnk
Stap 3: Windows opnieuw opstarten, virus wordt gestart
Stap 4: Virus verwijders lnk bestand en voegt register key toe
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AptraDebug" = "C:\Windows\system32\ulssm.exe"

Zolang er geen virusscanner draait op het systeem (versie d van het virus schakelt wel McAfee Solidcore uit, ik weet niet wat dat is) houdt weinig het virus tegen.

Of is er wel een lek in het besturingssysteem nodig?

JB Zimmerman 7 oktober 2014 23:30

Link naar video waarin op ccc conferentie de ontdekking van de de hack op de ATM uit de doeken word gedaan

https://www.youtube.com/watch?v=0c08EYv4N5A

Speedfightserv 7 oktober 2014 16:04

Het kan niet anders of dit is een '"inside job" Hoe kom je immers anders aan de kennis van de CD toegang etc.

[Reactie gewijzigd door Speedfightserv op 22 juli 2024 14:57]

Tokkes @Speedfightserv • 7 oktober 2014 17:13

Ik heb een tijd voor NCR gewerkt en kan je perfect uitleggen hoe hun Personas 77/78-automaten in elkaar zitten. Werk er nu niet meer maar de vergaarde kennis zou mij al ver brengen in het openmaken van zowel de kast als kluis. Dan rest enkel nog de anti-theft measures (inktcasette) en bij de bank buitengeraken.
Zou mij ook niet verbazen moest er een service manual ofzo ergens online gelekt ergens.

[Reactie gewijzigd door Tokkes op 22 juli 2024 14:57]

GeoBeo @Speedfightserv • 7 oktober 2014 16:37

Het kan niet anders of dit is een '"inside job" Hoe kom je immers anders aan de kennis van de CD toegang etc.

In hoeverre kun je van een "inside job" spreken, wanneer dit om informatie gaat waar 100'en zo niet 1000'en mensen toegang tot hebben? Ik noem:

Alle ontwikkelaars van de machine, alle installateurs van de machine (wereldwijd), alle onderhoudstechnici, alle geld "bijvullers" van de machine, alle transporteurs van de machine, alle bankmedewerkers waar de machine staat. We hebben het hier over vele 1000'en machines wereldwijd.

Een van de buitenkant toegankelijke USB poort of CD drive of andere interface dan de keypad is gewoon super slecht ontwerp. Ookal, moet je daar een stukje plastic van 2mm dikte voor wegbikken.

[Reactie gewijzigd door GeoBeo op 22 juli 2024 14:57]

efari @GeoBeo • 7 oktober 2014 17:45

[Reactie gewijzigd door efari op 22 juli 2024 14:57]

GeoBeo @efari • 8 oktober 2014 01:29

Dat kan allemaal kloppen voor wat betreft Nederland, maar ik heb in o.a. latijns Amerika met eigen ogen gezien dat daar de geldtransporteurs wel degelijk zelf geld-automaten bijvullen (met shotguns in de aanslag). Die gaan dus vrolijk dagelijks een groot deel van de apparaten in de stad bij langs...

Tokkes @GeoBeo • 8 oktober 2014 15:14

Hoef je zelfs zo ver niet voor te gaan. Zag laatst in Glasgow, Schotland een stel mannen een lokale Sainsbury's (supermarkt) binnengaan met geldkoffers en deze zelf achter in de geldautomaat staken. Zeker voor automaten die off-premise staan zie ik geen bankbediende in een busje rondrijden om die casettes te vervangen.

AceAceAce @Speedfightserv • 7 oktober 2014 16:19

Eens met inside job.

Bij al in het veld staande ATMs heb je allerlei sleutels, codes, en preauthorisatie nodig om uberhaupt de beveiligde ruimte in te komen, en dan heb je nog meestal een fysieke sleutel nodig om bij de PC te komen, waarop een uitgeklede en hardened OS draait.

Tijdens een installatie van een ATM worden alle IOs ook nog eens uitgezet via password protected BIOS, en valt de hardened OS en de programma´s erop echt niet makkelijk aan te passen.

Expert knowledge, inside info.

Damic @Speedfightserv • 7 oktober 2014 17:16

Nee je kunt gewoon een automaat kopen en die kraken en dan testen op live automaten

heeft een Amerikaan ook gedaan en kon zo via usb zijn eigen menu installeren, daarna via een pincode of een bankpas de automaat geld laten uitspuwen,

Haribo112 7 oktober 2014 16:03

De aanvallers installeerden de malware via een cd op de software van de geldautomaten. De automaten draaien op een 32bit-versie van Windows. Waarschijnlijk gebruikten ze kwetsbaarheden in het besturingssysteem om de malware te installeren.

Windows XP?

[Reactie gewijzigd door Haribo112 op 22 juli 2024 14:57]

sIRwa3 @Haribo112 • 7 oktober 2014 16:12

Ik heb nog een foto van een fortis geldautomaat die in een Win XP boot loop stond

das wel flink wat jaren geleden moet ik zeggen.

Tokkes @sIRwa3 • 7 oktober 2014 17:10

het Belgische KBC is pas vorig jaar van Windows XP (ra-ra, waarom? support liep af.) afgestapt voor hun automaten. Zaten ook nog Pentium 4 Northwood processors in met 512 MB geheugen en een 20 GB harde schijf.

Probeer daar ook nog maar eens onderdelen voor te vinden, zoiets oud.

efari @Tokkes • 7 oktober 2014 17:37

Idd.

[Reactie gewijzigd door efari op 22 juli 2024 14:57]

Armin

Netwerk en systeembeheer

@efari • 7 oktober 2014 20:21

Op zich is er natuurlijk ook niets mis met XP/XP Embedded of CE.

Het probleem is in dit soort hacks vaak dat
1) Het interne netwerk wordt gehacked. Deze hacks zijn echter heel zeldzaam bij ATM heists. Vandaar dat het gebruik van zelfs een ongepatchde XP dus niet zo'n groot probleem is als je wellicht op het eerste gezicht denkt.
2) Het systeem bereikbaar is via een USB poort of andere fysieke componenent. Zoals Tweakers aangaf was er eerder dit jaar was er een ATM hack waar een USB poort extern, maar in een andere heist eerder dit jaar in Hong Kong was de programeerinput van de kaartlezer niet uitgeschakelt. Hackers konden dus gewoon via de externe kaartlezer nieuwe software in programeren $_/-\o_$
3) De toeleverancier wordt gehacked.

In de meeste gevallen is in alle gevallen echter sprake van een inside job component. De kennis is doorgaans zo specifiek dat iemand die werkzaam is bij bijvoorbeeld een toeleverancier of onderhouds team betrokken moet zijn. Je moet namelijk precies weten welke hardware, welke software revisie, etc. Hier dus niet anders.

jaapzb @efari • 8 oktober 2014 11:02

Mag ik vragen waarom er is gekozen om windows op atm's te installeren? Kan je niet beter en volledig gestripte versie van linux maken en deze helemaal dichttimmeren? Kan me voorstellen dat je dan veel meer zelf kan bepalen en dat dat mogelijk een stuk veiliger is.

jozuf @jaapzb • 8 oktober 2014 11:22

Dat begrijp ik ook nooit.
Linux leent zich uitermate goed voor allerhande kiosk achtige opstellingen. Je kan het namelijk, in tegenstelling tot Windows, erg goed strippen omdat het ongelofelijk modulair is opgebouwd.
Wij gebruiken hier ook een "secure browser" die van Windows tracht een kiosk te maken met enkel een browser. Je breekt er alleen zo uit als je ergens een file browser opzoekt en ff cmd opstart met de rechter muis...

efari @jaapzb • 8 oktober 2014 11:46

Dat weet ik ook niet en ik kan er zeker niet over beslissen.

WhiteDog @efari • 7 oktober 2014 18:57

Zal je werkgever en je klant fijn vinden dat je dergelijke info even los op het net gooit...

Let toch op met zo'n dingen...

ArcticWolf @WhiteDog • 7 oktober 2014 19:01

ING had een tijdje geleden nog XP op de automaten staan, echt geheim is het niet als je een BSOD / Windows bootscreen ziet als je wilt pinnen...

evertalbers @WhiteDog • 7 oktober 2014 19:02

Of het is een briljante 'decoy'.

efari @WhiteDog • 7 oktober 2014 21:46

Het is niet alsof dat geheim was ofzo hoor..

Eagle Creek

@WhiteDog • 8 oktober 2014 08:49

Als het geheimhouden van het besturingssysteem van je systeem de sleutel is tot succes, is er iets mis met je beveiligingsstrategie

.

Het doet me denken aan websitebeheerders die angstvallig geheim proberen te houden welke serversoftware ze draaien, terwijl dit in tal van gevallen prima te achterhalen is (bijvoorbeeld met sites als http://toolbar.netcraft.c...url=undefined#last_reboot). Het geheimhouden van een exacte subversie bestaat nog wat discussie over (omdat bepaalde versies kwetsbaar zijn), maar de oplossing is niet je versie verborgen houden maar OF de kwetsbaarheid verhelpen OF de kwetsbaarheid mitigeren.

Op een soortgelijke manier is ook niet geheim te houden op wat voor OS een pinautomaat draait. Er zijn genoeg mensen die foto's hebben gemaakt van BSOD's, en daar ontdek je een variëteit in van Windows NT4.0, 2000 en XP.

Daar komt bij dat een pinautomaat op Windows XP helemaal niet per definitie kwetsbaar hoeft te zijn. Neem een gesloten netwerk, neem de onmogelijkheid om USB-apparaten te gebruiken, neem andere maatregelen (zoals bv custom patches waarvoor betaald wordt). Het is een ander verhaal als zo'n apparaat 'gewoon' aan het internet hangt en alle bekende bedreigingen over zich heen krijgt.

Verwijderd @WhiteDog • 8 oktober 2014 09:34

Pfft dat is niet echt restricted info dit kun je terugvinden op de sites van de fabrikanten en menig finance news site.

Instalatie en onderhouds manuals zijn ook gewoon te downloaden.

http://www.ncr.com/newsroom/resources/windows-7-atm-upgrade

sjanssen15 @Haribo112 • 7 oktober 2014 16:07

Vaak nog ouder van XP. Wanneer het draait denken hun: laten draaien, het werkt toch? Echter is elk systeem via een netwerk benaderbaar en hier dus met een CD.

Goedkoop duurkoop gevalletje denk ik zo. Vervangen kost veel geld maar wanneer het eens goed gehackt wordt en alles wordt gestolen dan is het echt ver zoek.

xoniq @sjanssen15 • 7 oktober 2014 20:21

Heb paar jaar geleden de muur machine van ING met een Windows XP BSOD gezien, als je er dan langs loopt, en je ziet dat, denk je wel ff: omg ..

Bilel @Haribo112 • 7 oktober 2014 16:05

erger. Windows CE zelfs bij de meesten. Zoals hier: http://www.wired.com/2010/07/atms-jackpotted/

mvhorssen

@Haribo112 • 7 oktober 2014 16:17

Het belangrijkste is niet het besturingssyteem in dit geval. Fysieke toegang tot de CD drive of bijvoorbeeld een USB poort is gewoon het probleem. Zodra een crimineel daar toegang toe heeft heb je per definitie een probleem. Het is dus een zeer kwalijke zaak dat criminelen daar toegang toe hebben.

Verwijderd @Haribo112 • 7 oktober 2014 18:56

Ja gewoon Windows XP versie voor betaal automaten, vaak genoeg een automaat gezien die een storing had en duidelijk liet zien met Windows XP te werken.

Daar is in principe ook niets op tegen daar banken met MS een doorlopend contract hebben en dus patches krijgen indien nodig.

ToolkiT 7 oktober 2014 16:04

"De aanvallers installeerden de malware via een cd op de software van de geldautomaten. "
Hoe is hun gelukt die CD te manipuleren??
Het lijkt me dat de banken die behoorlijk goed bewaken..

[Reactie gewijzigd door ToolkiT op 22 juli 2024 14:57]

firest0rm @ToolkiT • 7 oktober 2014 16:26

wellicht konden ze hun eigen cd spelers erin pluggen?

ToolkiT @firest0rm • 7 oktober 2014 18:01

waarin? een pinautomaat heeft geen USB poort oid voor zover ik weet.. al helemaal niet aan de client-side

Edgarz @ToolkiT • 7 oktober 2014 22:39

De ene geldautomaat is de andere niet. En vaak staan geldautomaten off premies, dus buiten een bankgebouw. Als dat een oud of goedkoop model is, soms zelfs met gewoon een PC in de GEA, dan kan er bij het vullen eenvoudig fysiek toegang verkregen worden. Zoveel verdienen die, meestal externe, GEA vullers ook niet...

Fawn 7 oktober 2014 16:07

Hoe kom je met een cd-rom in een geldautomaat?

P-e-t-j-e @Fawn • 7 oktober 2014 16:11

Je hebt van die kleine cd'tjes die volgens mij wel ongeveer even breed zijn als een bankbiljet... dus cdtje + gleufje = in de automaat

Verwijderd @P-e-t-j-e • 8 oktober 2014 08:13

ja zo stort ik ook altijd geld. Ik vouw het banbbiljet 2x dubbel en prop hem in de sleuf. Werkt prima!

Verwijderd 7 oktober 2014 16:31

als je zoveel skills hebt kan je toch wel op een normale manier geld verdienen, met een baan bijvoorbeeld in de ict, of zeg ik nou iets geks?

FooLsKi @Verwijderd • 7 oktober 2014 18:02

Je zult er een bepaalde mindset voor nodig hebben. Sommige mensen vinden de keuze tussen eerlijk geld verdienen (en dus belasting daarover betalen e.d.) en in een paar keer veel geld oneerlijk binnensleuren (zwart) vrij makkelijk.

Verwijderd @Verwijderd • 7 oktober 2014 16:40

Dit is in 1x veel geld...

casparvl 7 oktober 2014 16:05

"De aanvallers installeerden de malware via een cd op de software van de geldautomaten." ? Ik heb nog nooit een cd-drive bij een geldautomaat gezien

En aangezien ze hun best deden ongedetecteerd te blijven neem ik aan dat ze de automaat ook niet open hebben gemaakt. Dus... waren dit mensen die als baan hadden software op geldautomaten te zetten of wat?

fezoj 7 oktober 2014 16:11

Krijg hier een aha - erlebnis van!! Vreemd dat dit kon gebeuren, nog vreemder dat het weer gebeuren kan...

ReallyStupidGuy @fezoj • 7 oktober 2014 17:08

Interessant artikel maar het gaat om iets anders.
Hier wordt de computer die de pinautomaat aanstuurt voorzien van een stukje malware.

Bij het artikel waar jij aan refereert zijn de cc. gegevens gehacked waardoor er een groot geldbedrag kon worden opgenomen (verdeeld over een groot aantal pinautomaten)

Verwijderd 7 oktober 2014 16:14

Natuurlijk zo'n cd in de vorm van een betaalkaart.
Zijn ook dvd's voor

Verwijderd @Verwijderd • 7 oktober 2014 19:02

Of een gewoon goedkope externe compatibele USB CD of DVD rom drive waarvan XP standaard de drivers heeft even rebooten en het werkt

Edit: typo

[Reactie gewijzigd door Verwijderd op 22 juli 2024 14:57]

Room42 @Verwijderd • 7 oktober 2014 20:58

Hij maakte een grapje. Hij bedoeld dat ze er in plaats van hun bankpasje een business card CD in staken en dat het apparaat dat gelezen zou hebben. Erg komisch idee

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (64)

Sorteer op:

Weergave: