image

Windows XP geldautomaten besmet met malware

donderdag 4 juni 2009, 13:55 door Redactie, 23 reacties

Beveiligingsexperts hebben de afgelopen maanden Trojaanse paarden ontdekt die op Oost-Europese geldautomaten waren geïnstalleerd en de magneetstrip en pincode van pinpassen kopieerden. De automaten waar de malware op werd aangetroffen draaide Windows XP. Volgens de onderzoekers bevatte de malware geavanceerde management functionaliteit die de aanvaller via een aangepaste user interface volledige controle over de geldautomaat geeft. De interface is verkrijgbaar door een controllerkaart in de kaartlezer van de geldautomaat in te voeren.

Voor zover bekend beschikt de malware niet over netwerk eigenschappen die het in staat stelt om de gestolen gegevens via het internet naar andere locaties door te sturen. Wel is het mogelijk om de verzamelde pasgegevens via de printer van de geldautomaat uit te printen of naar een opslagmedium weg te schrijven. Er zouden inmiddels 16 varianten van de malware zijn verschenen, die alleen door individuen die toegang tot de automaten hebben, zijn te installeren. In maart van dit jaar waarschuwde anti-virusbedrijf Sophos al dat het malware in Russische Diebold geldautomaten had ontdekt. De onderzoekers van SpiderLabs weten niet of hun ontdekking met die van Sophos verband houdt. Wel is duidelijk dat de malware op de machines van meerdere fabrikanten werkt. Volgens McAfee kan de malware alleen automaten met Diebold software infecteren.

Controle
Trustwave, waar de onderzoekers van SpiderLabs onder vallen, adviseert banken en andere financiële instellingen om hun machines ook op malware te controleren. Het bedrijf is een dienstverlener voor de financiële sector. "Deze systemen die met financiële netwerken verbonden zijn, zitten letterlijk in het open en zijn kwetsbaar. De meeste van deze systemen worden niet in de gaten gehouden", zegt Nicholas Percoco. Hij merkt op dat de levenscyclus van de malware zich snel ontwikkelt.

Reacties (23)
04-06-2009, 14:11 door Anoniem
Windows XP geldautomaten

Grapje zeker?
04-06-2009, 14:15 door Anoniem
xp ? niet op windows 3.11 ?
04-06-2009, 14:31 door spatieman
ik vrees dat het geen grapje is.
er zijn nog maar weinig flappentap doosjes die GEEN windoof draaien.
04-06-2009, 15:12 door Anoniem
Onhandig, heb in het verleden NIX-achtige startschermen op die automaten gezien. Het wachten is nu op malware voor Zelfbedieningskassa's. Kunnen ze gratis boodschappen doen en als kassabon de skimresultaten afdrukken.
04-06-2009, 15:25 door SirDice
Door Anoniem: Onhandig, heb in het verleden NIX-achtige startschermen op die automaten gezien.
Ik meen dat sinds de flappentap een kleurenscherm heeft dat het XP embedded is. Niet dat het kleurenscherm daar iets mee te maken heeft maar dat viel mij op.
04-06-2009, 15:31 door Anoniem
doet me een beetje denken aan: http://xkcd.com/463/
04-06-2009, 15:50 door Anoniem
/*
Onhandig, heb in het verleden NIX-achtige startschermen op die automaten gezien
*/

Dat waren in de meeste gevallen OS/2 machines.
Maar het onderhoud...duur en geen mensen met kennis zal wel de oorzaak wezen van de overstap.
04-06-2009, 16:02 door [Account Verwijderd]
[Verwijderd]
04-06-2009, 16:53 door Anoniem
Dit is een klassieke fout. Je gebruikt je data-kanaal niet voor je controle-data. Dat ging fout bij PSTN telefonie,
dat is heel erg fout aan het gaan bij https/internetbankieren en blijkbaar kan het nu ook fysiek.

LW
04-06-2009, 18:05 door U4iA
Lekker belangrijk of het XP is of wat anders. De "malware" was al op de automaten aanwezig. Deze hebben geen internet aansluiting of IE om te kunnen browsen naar obscure pr0n sites. De malware is er dus willens en wetens op gezet VOORDAT de automaat in gebruik is genomen. Tja, hier is geen enkel systeem tegen opgewassen. Als je Linux gebruikt kan je ook scripts hiervoor schrijven. Ach, geeft weer rede tot allerlei flamewars zullen we maar zeggen...
04-06-2009, 18:10 door Anoniem
Misschien zegt je dit wat windows xp embedded is geinstalleerd op de ATM machines!
Het kan ook wel eens voorkomen dat je voor geldautomaat plotseling Blue Death of Screen krijgt en
er een berg geld komt uitrollen zonder je pas er intestopen!
http://en.wikipedia.org/wiki/Automated_teller_machine
04-06-2009, 18:23 door Van Hoorne
Gelukkig, we kunnen weer zeiken over Microsoft. Over Roemeense skimmers hebben we het maar niet, ook al heeft dat veel ingrijpender gevolgen.
04-06-2009, 19:16 door TheKeymaker
Door Anoniem:
Windows XP geldautomaten

Grapje zeker?

Nee hoor. Een jaar of 9 geleden draaiden nog veel geldautomaten op NT4!
04-06-2009, 23:06 door Anoniem
Windows xp ? laatst dat ik ze zach reboten zach ik windows 2000 ???????
05-06-2009, 07:05 door Anoniem
Ik ben bekend met hackers programmas. Ook al zat er Linux op, zou dit echt geen verschil uitmaken. En...dat weet ik 10000000% beter en zekers! Hackers worden steeds slimmer. Het ligt totaal niet aan Windows XP. Wel moeten beveiligers steeds aanpassingen doen. Tja, je blijft bezig!
Sectrust.ams.osd.
05-06-2009, 08:56 door Napped
ik was in maart op vakantie in Egypte (hurghada).
Daar stond in het hotel ook een pin automaat met Touchscreen functionaliteiten.
Leuk met een utp kabel die uit de pinautomaat naar een cisco 1800 series router met een GRPS/HSDPA module ging.
Toen ze het geld gingen bijvullen, deden ze dat met de hand tellen open en bloot op een tafel in het hotel hele kisten met geld, zonder bewaking.
Maar het leukste was, het hotel kreeg power failures en hadden geen ups als backup dus de pinautomaat gaat rebooten, Xp prof start op.
Kan je gewoon in de xp omgeving werken de eerste 2 minuten, voordat de checks gedaan zijn en de applicatie live (DMV touchscreen)
Hij start automagisch te pingen en je komt in een cmd screen, je hoeft alleen osk.exe te starten en je was live.
Ik weet alleen niet hoe je de enter doorvoert, je zou de osk.exe kunnen kopieren door letter voor letter in dat cmd scherm.
Maar hoe voer je het door?

En zo gemakkelijk heb je fysieke toegang tot een pin automaat, en dan nog denk is aan de hub die kan zetten tussen de atm en de cisco, lekker sniffen :D

EN AFAIK hebben die pinautomaten geen gateway oid, zitten alleen met VPN verbindingen en in VLANS met elkaar verbonden (gesloten circuit), het zou ook wel lomp zijn ook om het toegang te geven tot internet...
Het grootste probleem is niet het OS maar het grootste probleem is de fysieke toegang tot de apparaten, want als men het over linux gaat hebben het is zoooo veilig he (uitgaande van fysieke toegang) Je boot vnaar de distro van het systeem, je meld dat je safe wilt booten... en je hebt totale root acces op je huidige systeem.
Bij windows moet je dan nog andere stappen doen, (of toegang tot een cd of usb hebben (password reset tools, of als je in een domain zit heb je pech want dan kan je die niet resetten) Dus om dat feit heb ik liever windows (of linux via LDAP)maar nergens lokale accounts...... Ik denk dat je dit beter in windows kan bereiken dan linux, maar dat is maar net waar je meer in gespecificeerd ben.
En sowieso zou ik dingen als deepfreeze of hardware dingen toepassen die je systeem telkens terug zetten naar een status.

maarja dat was allemaal niet nodig omdat de banken hun geldautomaten vertrouwde...

------
Door Peter V: Geld pinnen kan je daarom beter niet buiten het bankgebouw doen, maar IN het bankgebouw, aangezien de malware geen netwerkeigenschappen heeft.

En je wilt daarmee zeggen dat? die bankautomaten kunnen niet besmet zijn ? daar hebben ze geen fysieke toegang toe ?
ze hebben het over printen van bonnejtes, denk je dat het op gaat vallen als je 4 min staat te pinnen niemand ziet die bonnejtes mits je er goed voorstaat.
05-06-2009, 09:18 door Anoniem
Ik vraag mij uiteindelijk even af wanneer ze die figuren die zich daar mee bezig houden met die fraude toestanden eens gaan opknopen aan de hoogste boom die er staat, of zit die al vol misschien?
05-06-2009, 09:37 door Napped
Door Anoniem: Ik vraag mij uiteindelijk even af wanneer ze die figuren die zich daar mee bezig houden met die fraude toestanden eens gaan opknopen aan de hoogste boom die er staat, of zit die al vol misschien?
ze geven 1% aan de ambtenaar daar in het oostblok en ze hebben geen problemen.
05-06-2009, 11:46 door Anoniem
NS kaartmachines zijn ook XP gebaseerd ... En waren voorheen NT4 / 2000.

Niets nieuws
05-06-2009, 11:51 door Anoniem
"Deze hebben geen internet aansluiting of IE om te kunnen browsen naar obscure pr0n sites."
Voer nu pas in de gleuf ;)
05-06-2009, 16:25 door Anoniem
ach ben je op vakantie in Finland werkt je PIN-pas gewoon als creditcard en mag je je handtekening op bonnetje krabbelen. Dat had ik nooit geweten.....Maestro!!
Kom je er zodoende achter dat je altijd bent vergeten om je handtekening achter op te zetten!! Maar al stond ie er wel op dan zou ik bij verliezen van mijn pas, een gelukkige vinder blij kunnen maken met een grote aanschaf! Handtekening word nu niet echt serieus gecheckt met paspoort ofzo.

Sta je later bij een MCdonalds in Turku te pinnen werkt zijn (allen bij zijn kassa) apparaat niet hoef geen PIN te geven en niets te krabbelen; later ing.nl gecheckt en keurig vier euro zöveel afgeschreven! Geen krabbel gedaan geen pin ingetypt wel geld netjes afgeböekt,,,waterdicht systeem hoor die pinpas.
daar hoef je dus geen hacker of beveiligingsexpert voor te zijn om dat te ervaren
Vakantiegroetjes uit Finland!
07-06-2009, 20:58 door monica8
Het is een oud verhaal waar nu ook Roemenen mee spelen. Het betreft in dit geval ATM's van het merk Diebold. Die worden in NL hoofdzakelijk door Fortis gebruikt. Diebold is qua grote de derde producent wereldwijd. Eerste is NCR en tweede Wincorn/Nixdorf. De Fortis/Diebold ATM is in 2008 toevallig ook de meest geskimde ATM in NL.

De reden dat dit soort (windows XP) ATM hack grappen niet vaak in NL voorkomt is dat de banken zelf de programmering van hun ATM's aanpassen. De ATM producenten hebben geen inzicht in dat gepruts van de banken zelf, en die kunnen der dus weinig aan doen. Dit windows XP hack gedoe kunnen alleen ATM's zijn met open RDP poorten of VNC of iemand die gewoon toegang heeft en zo zijn eigen zooitje infecteert, een typisch Roemeense aanpak. Ik ga eigenlijk van het laatste uit, dit gebeurt nu ook al een tijdje in hotel ketens waar eigenaren of managers bewust meedoen en die kopieer software laten installeren.
01-08-2009, 01:50 door Anoniem
Ik was ooit bij het ziekenhuis, daar staad een openbaare kiosk met een ijzeren toetenbord. (zonder CTRL ALT enzo)
Er zat wel een Shift toets op, ik drukte daar 5 keer op en toen kwam een venstertje over toegankelekheidsopties, de taakbalk kwam toen ook op de voorgrond, toen ging ik Start > Afmelden, en daarna was ik met een rood gezicht weggelopen ;p

(Sorry voor de spellings en grammaticafouten, ik heb namelijk dyslexie)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.