Hacker leeren Geldautomaten in den USA (Jackpotting)

In den vergangenen Wochen kam es in den USA vermehrt zu sogenannten Jackpotting Angriffen auf Geldautomaten. Wie der renommierte IT-Security-Journalist Brian Krebs berichtete, hat daraufhin der Secret Service die Hersteller von Geldautomaten wie Diebold Nixdorf und die NCR Corporation vor dem größer werdenden Angriffsproblem gewarnt.

Beim Jackpotting werden Geldautomaten mit spezieller Malware manipuliert, die es den Hacker erlaubt Sicherheitsmechanismen der Automaten zu deaktivieren. Sie können so den Geldautomaten vollständig leeren. Benannt wurde der Angriff nachdem bereits verstorbenen Hacker Barnaby Jack, der bereits im Jahr 2010 die Angriffsmöglichkeit während seines Vortrags "Jackpotting Automated Teller Machines" dem Fachpublikum vorstellte.

Brian Krebs der in IT-Security-Kreisen als gut informierter Journalist gilt berichtet in seinem Blog krebsonsecurity.com, dass eine anonyme Quelle ihn über koordinierte Angriffe informiert hat. Die Quelle sprach von einem Beginn in der zweiten Januarhälfte und Angriffen die sich vor allen auf Diebold-Geldautomaten fokussiert haben. Laut Krebs gibt es Hinweise darauf, dass weitere landesweite Angriffe geplant sind.

Als Reaktion auf die anhaltenden Angriffe hat amerikanische Unternehmen Diebold Nixdorf inzwischen Warnungen an seine Kunden verschickt, die auf das Problem hinweisen. Dem Hersteller ist aufgefallen, dass die Angreifer meist die kleinen und freistehenden Geldautomaten aus der Opteva Serie plündern. Als Schutz vor der Malware empfiehlt der Produzent die Aktualisierung der Firmware, die Verschlüsselung der Datenübertragungen und die Erschwerung des physikalischen Zugriffs auf die Hardware.

Beim Jackpotting ist es essentiell, dass der Angreifer direkten Zugriff auf den Automaten hat. Aufnahmen von Überwachungskameras zeigen oft als Techniker verkleidete Personen, die mithilfe eines Endoskops direkt in den Automaten blicken. Dann verbinden sie ihren Laptop mit Anschlüssen innerhalb des Automaten und spielen so die Malware auf, die es ihnen erlaubt den Automaten zu leeren. Nach der Installation der Malware scheint der Geldautomat für normale Kunden wie außer Betrieb zu sein, die Hacker können jedoch per Fernsteuerung beliebige Geldbeträge aus dem Automaten abheben.

Laut einem geheimen Dokument des Secret Service das Krebs vorliegt, gab es ähnliche Angriffe bereits vor einigen Jahren in Mexiko. Die aktuellen Jackpotting-Angriffe setzen laut dem Dokument eine upgedatete Malware aus dem Jahr 2013 ein, die vom Sicherheitsunternehmen FireEye den Namen Ploutus.D bekommen hat. Interessierte Personen finden bei FireEye eine eine detaillierte Analyse der aktuellen Malware Version.

Jackpotting kommt im direkten Vergleich zur USA in Europa deutlich häufiger vor. Es ist auch ein Fall aus Deutschland aus dem Jahr 2015 bekannt, bei dem ein Krimineller einen Geldautomaten mit einem USB-Stick manipuliert hat. Damals konnten erfolgreich große Geldbeträge entwendet werden.

Die bisher gefundene Ploutus.D Version greift nur Diebold Nixdorf Automaten an. Laut dem Sicherheitsunternehmen könnten aber schon kleine Änderungen dazu führen, dass die Malware Automaten von 40 verschiedenen Herstellern in insgesamt 80 Ländern angreifen könnte. Die Software Kalignite, die auf einem Großteil aller Geldautomaten weltweit läuft, wird auch in Deutschland verwendet. Der aktuelle Angriff zeigt wiedermal deutlich wie wichtig aktuelle Software für die Sicherheit ist. Auf einem Teil der infizierten Geldautomaten lief noch Windows XP, das seit längerem nicht mehr geupdatet wird. Der Secret Service empfiehlt daher ein Update auf Windows 7, um den Angriff zu erschweren.