Die Bankräuber haben bei ihrem Coup keinerlei Spuren hinterlassen.
Gangster, die nach wie vor Geldautomaten sprengen oder aus der Verankerung reißen und mitnehmen, sind offenbar nicht mehr ganz up to date. Verglichen mit solchen "altertümlichen" Methoden kann man folgenden Coup wohl bedenkenlos als „Banküberfall 4.0“ bezeichnen: Als Bankangestellte einen ausgeraubten Geldautomaten vorfanden, ohne erkennbare Spuren physischer Gewaltanwendung oder Malware, standen sie vor einem Rätsel. Doch nun ist es Internet-Sicherheitsexperten gelungen, herauszufinden, wie die modernen Bankräuber bei ihrem spektakulären Coup vorgegangen sind. Konkret hat Kaspersky Lab jetzt die Vorgehensweise der Cyberkriminellen aufgedeckt: nach einem „fileless“ Einbruch ins Banknetzwerk lassen sich mit der Malware ATMitch Geldautomaten in sekundenschnelle und ohne wirklich nachzuverfolgende Spuren ausrauben.
Hacker tricksten die Forensiker aus
Die Sicherheitsexperten veröffentlichten bereits im Februar 2017 einen Bericht über mysteriöse Attacken gegen Banken, die „fileless“ beziehungsweise dateilos durchgeführt wurden. Dabei griffen Cyberkriminelle Netzwerke von Banken mit im Speicher versteckter Malware an. Es stellte sich damals die Frage nach dem wahren Grund der Attacken. Der ATMitch-Fall vervollständigt nun das Bild. Da die Cyberkriminellen nach dem Angriff alle ausführbaren Malware-Dateien gelöscht hatten, konnten die Forensiker der Bank den Kaspersky-Experten für deren Analyse nur noch zwei verbliebene Dateien übergeben, die Malware-Log-Daten von der Festplatte des Geldautomaten enthielten (kl.txt und logfile.txt).
In den Log-Dateien fanden sich kurze Klartext-Passagen, mit deren Hilfe eine YARA-Regel konstruiert werden konnte, um in öffentlichen Malware-Quellen nach passenden Samples suchen zu können. Nach einem Tag gelang es den Sicherheitsprofis, das Malware-Sample zu identifizieren. Es handelte sich um „tv.dll“ beziehungsweise „ATMitch“ – ein Programm, das bereits zweimal – in Russland und Kasachstan – auftauchte.
>>>Nachlesen: Manipulierter Bankomat in Wien entdeckt
Spurloses Plündern von Geldautomaten
Die ATMitch-Malware wird aus der Ferne über die bankinterne Fernwartung auf den Geldautomaten der Bank gespielt und dort ausgeführt. Sobald ATMitch installiert ist und in Verbindung mit einem Geldautomaten steht, kommuniziert die Malware mit diesem wie eine legitime Software. Angreifer können so bestimmte Befehle ausführen, und beispielsweise Informationen über die Anzahl der im Automaten enthaltenen Geldscheine sammeln. Damit können sie immer dann zuschlagen, wenn der Geldautomat gut gefüllt ist. Zudem können die Cyberkriminellen per Klick den Befehl zur Ausgabe eines beliebigen Geldbetrags geben, die Scheine entnehmen und umgehend verschwinden: Ein Geldautomatenraub innerhalb von Sekunden. Die Malware-Spuren im Geldautomaten werden im Anschluss gelöscht.
Wer hinter den Angriffen steckt, bleibt offen
Bisher ist noch offen, wer hinter den Angriffen steckt. Der Einsatz von Open-Source-basiertem Exploit-Code, herkömmlichen Windows-Tools und unbekannten Domains macht es fast unmöglich, die verantwortlichen Hintermänner zu bestimmen. Jedoch lässt das im Geldautomaten verwendete „tv.dll“ auf russischsprachige Gruppen schließen. Die „Super-Hacker“ sind also nach wie vor auf freiem Fuß und dürfen sich über ihren Coup freuen.