Mistroiske hackere inficerede pengeautomater med USB-nøgle

Illustration: Virrage Images/Bigstock
Ved hjælp af skræddersyet malware på en USB-nøgle kunne hackere nemt tømme pengeautomater, når de først havde skabt adgang til automatens USB-port.

Et lille hul fra ydersiden af pengeautomaten var nok til, at hackere kunne stikke en USB-nøgle med malware i maskinen og overtage kontrollen. Hullet blev dækket til igen, og derefter skulle hackerne blot komme forbi af og til, taste to koder ind - og så udbetalte hæveautomaten beredvilligt sedler efter ønske til hackerne.

Det skriver BBC, ud fra en præsentation om pengeautomat-tyverierne, der blev givet på hackerkonferencen Chaos Communication Congress i Hamborg.

Når automaten var inficeret med hackernes kode fra USB-drevet, kørte den helt som normalt, indtil en 12-cifret kode blev indtastet. Så gik maskinen over til hackernes software og fortalte, hvor mange sedler og af hvilke slags, den lå inde med. Dermed kunne hackerne vælge, om det kun skulle være de største sedler, de ville have udbetalt, for at spare tid.

Men før pengene forlod maskinen, skulle tyven indtaste endnu en kode, men denne gang en engangskode, ud fra et tal på skærmen. Det var en kontrolfunktion fra bagmanden, som ikke stolede nok på sine medsammensvorne til at give dem frit spil. De måtte ringe til ham hver gang for at få engangskoden udleveret.

De listige tyverier blev opdaget, da den unavngivne europæiske bank, der blev ramt, undrede sig over, hvordan automater kunne miste så mange penge, uden at de var brudt op. Med ekstra overvågning af bankens hæveautomater blev hackergruppen afsløret, og først der opdagede man malwaren, der kørte på maskinerne.

Der var gjort meget ud af at skjule koden og gøre den svær at gennemskue. Men filnavnet på malwaren var ikke særlig diskret: Hack.bat.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Carsten Olsen

Jeg kunne godt komme med et gæt. Har selv set en maskine (i udlandet), der foreslog dem der hævede på den at slå Norton AV til. Mon ikke den også havde en USB port der straks ville kører et program der ligger på USBen så snart den var kommet i.Det er meningen at programmet er et fil-system til USBen. Men da OSet bare kører programmet er det ikke så godt hvis det nu er en malware. (Der kører med supervisor-rettigheder)

  • 3
  • 1
#3 Bjarke I. Pedersen

Ifølge videoen fra 30c3, så kører de Windows XP. Det er ikke muligt bare at køre ting fra USB nøglen inde fra Windows af, da der er whitelisting sat op, så kun ting signeret med bestemte keys kan afvikles.

Det de har gjort, er at tvinge den til at boote fra USB, hvorved de så kopierer en DLL ind, og sætter den til at blive loadet ind i de processer der køres (da signaturen kun checker på selve programmerne, og ikke alle DLL'erne)

Hvis man er interesseret, så kan det ses her: http://www.youtube.com/watch?v=0c08EYv4N5A

  • 2
  • 0
#5 Carsten Olsen

Video ,der virker.

Ja det ser ud til at de alle kører XP. Det ser ud til at problemet er BIOS boot. Altså at man kan afbryde boot prosessen med malware. Men hvis nu man havde valgt Android (eller Chrome OS), så bootes computeren ved hjælp af en firmware. Denne firmware er "proof" overfor malware. (Dog kan "ejeren" vælge at "jail-breake" sin computer. Men det kræver dog at han selv er logget ind først). Så hvis vi antager at producenten havde lavet automaten med Android ( og dermed også firmware-boot) ville den ikke kunne angribes på denne måde.

Det er også interessant at lægge mærke til at virus-scan og certificering er rent spild af penge i dette tilfælde. Hvis automaten havde kørt Linux havde problemet været det samme. Dog er der 2 Linux-distributioner der er "proof" over for det. De to distributioner er : Android og Chromebooks (begge firmware-boot, signeret OS).

  • 5
  • 2
#6 Christian Nobel

Undskyld jeg siger det, men det vil da være fuldstændig tåbeligt at køre Android eller endnu værre Chrome OS på en pengeautomat.

Det eneste rigtige er at køre et fuldstændig minimalt embedded OS (i praksis Linux eller BSD), hvor der er 100% styr på hvad der får lov til at køre - men det fordrer at systemerne er lavet af nogen der kan løfte sig over drag-n-drop programmering.

  • 23
  • 2
#9 Deleted User

lol

Det bliver endnu nemmere. Nogle af deres maskiner stå helt udenfor videoovervågning ved mørke stoppesteder i skoven.

Der er bare ikke penge i lortet. Du kan måske få dig hacket til gratis offentlig transport i Danmark (Hvor sexet er det lige?). Man kan dog tro at Rejsekort glædelig udbetaler det hackede indestående på en million og trækker gebyret på 50 kr. fra uden at noget menneske opdager det. Så måske er der alligevel penge i lortet (...men det er stadig ikke kontanter eller bitcoins)

  • 0
  • 0
#12 Jesper James Jensen

Engang bekymrede man sig også om den fysiske sikkerhed. Jeg husker de gode gamle IBM RS/6000 maskiner med en ægte fysisk nøgle, der kunne låse bootlisten - nul snigboot fra eksterne devices eller installation uden nøglen, man kunne heller ikke åbne kabinettet uden vold for den sags skyld.

  • 1
  • 0
Log ind eller Opret konto for at kommentere