Nieuws
image

Windows-malware besmet tientallen geldautomaten

dinsdag 7 oktober 2014, 11:06 door Redactie, 9 reacties
Laatst bijgewerkt: 07-10-2014, 13:09

Zeker 50 geldautomaten van banken in Oost-Europa zijn met Windows-malware besmet geraakt waardoor criminelen door het opgeven van een speciale code al het geld uit de geldcassettes kunnen stelen. Daarnaast is de malware ook in andere landen aangetroffen, waaronder Frankrijk, de VS en India.

Dat laat het Russische anti-virusbedrijf Kaspersky Lab weten. De Tyupkin-malware kan de geldautomaten van een grote geldautomatenfabrikant infecteren die op een 32-bit versie van Windows draaien. Volgens de onderzoekers gebruikt de malware zeer geniepige technieken om detectie te voorkomen. Zo is de malware alleen op bepaalde momenten 's nachts actief. Daarnaast gebruikt het voor elke sessie een sleutel om met de geldautomaat te communiceren.

Als de sleutel is ingevoerd toont de malware hoeveel geld in elke geldcassette aanwezig is en laat een aanvaller die fysiek bij de geldautomaat staat 40 biljetten uit de geselecteerde cassette opnemen. De meeste malware-exemplaren van Tyupkin werden in maart van dit jaar ontdekt, maar de ontwikkelaars hebben inmiddels nieuwe varianten uitgebracht. Naast anti-analysetechnieken schakelt de malware op besmette systemen ook het programma McAfee Solidcore uit. Deze software moet systemen tegen ongewenste applicaties beschermen.

Infectie

Uit beelden van bewakingscamera's blijkt dat de aanvallers de geldautomaten via een opstart-cd infecteren. Eenmaal actief kan de malware via een standaard library (DLL) voor banken met de geldautomaat communiceren. De malware blijkt alleen op zondag- en maandagnacht opdrachten te accepteren. Criminelen kunnen naast een weergave van de hoeveelheid geld ook de activiteitsperiode van de malware instellen en de malware van het systeem verwijderen.

Volgens onderzoekers van Kaspersky Lab is het gebruik van geldautomatenmalware een "natuurlijke evolutie" voor criminelen, nu skimmingoperaties minder opleveren. "Het feit dat veel geldautomaten op besturingssystemen met bekende beveiligingsproblemen draaien en de afwezigheid van beveiligingsoplossingen is een ander probleem dat snel moet worden opgelost." Banken krijgen het advies om onder andere het beveiligingsalarm van de geldautomaat in te schakelen. Bij de aangevallen geldautomaten stond het beveiligingsalarm namelijk niet ingeschakeld.

Update 13:09

Tegenover Security.NL laat Kaspersky Lab weten dat criminelen via de malware miljoenen dollars hebben gestolen. Een exact bedrag kan echter nog niet worden gegeven.

Image

Reacties (9)
07-10-2014, 11:18 door Anoniem
"Uit beelden van bewakingscamera's blijkt dat de aanvallers de geldautomaten via een opstart-cd infecteren. "

Ben ik de enige die zich afvraagt waarom een geldautomaat in hemelsnaam een toegankelijke CD-ROM drive heeft?
07-10-2014, 11:28 door Anoniem
En waar gaat die opstart CD dan in? Lijkt me dat ze fysiek toegang moeten hebben tot de achterkant van het apparaat
07-10-2014, 11:56 door Anoniem
De vraag blijft: hoe is het mogelijk om een opstart-cd in het systeem te krijgen?
07-10-2014, 12:10 door Vandy - Bijgewerkt: 07-10-2014, 12:11
Nice. Het gaat om een oud model automaat van NCR. Voorheen ook bij de ABN Amro / Fortis in Nederland in gebruik. http://i00.i.aliimg.com/img/pb/936/113/367/367113936_986.jpg

Uitgifte van maximaal 40 biljetten per keer. Nieuwe NCR-automaten zijn instelbaar tot 100 biljetten per keer, maar die zijn kennelijk (nog?) niet getroffen.

Nu moet je sowieso fysieke toegang hebben tot de hardware, dus het openbreken van de automaat of het van achteren benaderen van het apparaat is noodzakelijk. Je mag toch hopen dat er in Nederland beter wordt beveiligd...
07-10-2014, 15:06 door Anoniem
Waarom draait zo'n automaat op windows software? Zoveel ingewikkelds hoeft zo'n automaat toch niet te doen? Het lijkt me dat een beetje programmeur er zo eigen software (of een eigen operating system) voor kan schrijven, zodat niemand weet hoe een geldautomaat werkt, en er dus geen malware voor te schrijven is.
Hoe criminelen zo'n automaat kunnen manipuleren zonder dat er in no-time politie opduikt is mij al helemaal een raadsel.
07-10-2014, 15:35 door Anoniem
Door Anoniem: En waar gaat die opstart CD dan in? Lijkt me dat ze fysiek toegang moeten hebben tot de achterkant van het apparaat

Dat denk ik ook. Vandaar dat men in het artikel zegt dat het alarm moet zijn ingeschakeld.
07-10-2014, 19:38 door Anoniem
Door Anoniem: Waarom draait zo'n automaat op windows software? Zoveel ingewikkelds hoeft zo'n automaat toch niet te doen? Het lijkt me dat een beetje programmeur er zo eigen software (of een eigen operating system) voor kan schrijven, zodat niemand weet hoe een geldautomaat werkt, en er dus geen malware voor te schrijven is.
Dat is allemaal niet zo moeilijk. Je bestelt een automaat en zo'n leverancier bouwt zo'n ding met zoveel mogelijk "COTS"-onderdelen en met windows want iets anders kent de bouwer niet, of noem maar op wat voor reden. Een heel OS schrijven is redelijk wat werk, en "security by obscurity" werkt niet zo geweldig. Hoewel het wellicht een beetje beter werkt dan de rommel die je nu tegenkomt. Maar er zijn wel betere alternatieven, zoals bijvoorbeeld hier beschreven:

https://www.security.nl/posting/367906/Geldautomaten-malware+vertaald+en+verbeterd#posting367916

Hoe criminelen zo'n automaat kunnen manipuleren zonder dat er in no-time politie opduikt is mij al helemaal een raadsel.
Merk op dat ze heel geniepig zo veel mogelijk hun sporen verborgen houden. Merk ook op dat een directe bank/politie-koppeling wellicht eigenlijk helemaal niet wenselijk is, ook al doen ze dat ondertussen in Nederland wel. Niet dat je er wat aan hebt als de malware de er-wordt-gerommeld-detectie voor de gek houdt, en daar is deze vrij goed in. Zo'n raadsel is dat dus niet.
07-10-2014, 20:39 door mcb
Door Anoniem 15:35:
Door Anoniem: En waar gaat die opstart CD dan in? Lijkt me dat ze fysiek toegang moeten hebben tot de achterkant van het apparaat

Dat denk ik ook. Vandaar dat men in het artikel zegt dat het alarm moet zijn ingeschakeld.
Het kan aan mij liggen maar volgens mij had er sowieso een actief alarm op moeten zitten.
08-10-2014, 21:51 door Anoniem
Er moet een beveiligingssysteem komen voor geldautomaten,dit houdt m.i. in: bij onraad alarm via grote toeters en bellen: alarm-zwaailicht en luide sirene,een auto-blokkade voor de geldverstrekking-functie,een (stille) automatische alarmering vd politie,bewakingsdienst en de bank zelf,bewakingscamera's erbij zou ook mooi zijn en wellicht is het een optie om de geldautomaat bij poging tot indringing/manipulatie onder stroom te zetten,bijv. het voltage dat gebruikt wordt om koeien binnen de weide te houden,niet dodelijk,maar wel goed voelbaar.Wellicht wel even een waarschuwing op het scherm vd geldautomaat: handen af! binnen 15 seconden wordt deze geldautomaat onder stroom gezet!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure