Millionen-Diebstahl

04. April 2017 20:57; Akt: 05.04.2017 08:14 Print

Bancomat zeigte «take the money, bitch» an

Mit einem Trick haben Hacker in Russland mehrere Bancomaten leergeräumt. Sie erbeuteten 45 Millionen Rubel und hinterliessen eine eindeutige Nachricht.

Bildstrecke im Grossformat »

Zum Thema
Fehler gesehen?

Gleich mehrere Bancomaten in Russland haben im letzten Jahr Geld ausgespuckt wie Slotmaschinen in Casinos, bei denen der Jackpot geknackt wurde: Unbekannte haben damals insgesamt acht Geldautomaten von zwei Banken leergeräumt. Die Attacke war minutiös geplant, verlief blitzschnell und warf viele Fragen auf.

Umfrage
Sind Sie schon einmal Opfer eines Hackerangriffs geworden?
29 %
42 %
29 %
Insgesamt 862 Teilnehmer

Überwachungskameras filmten den Diebstahl: Das Video zeigt einen Mann, der sich den Maschinen nähert. Ohne dass dieser die Automaten berührt, spucken diese bündelweise Cash aus. Pro Bankomat erbeuteten der Mann je rund 5,5 Millionen – in der ganzen Nacht rund 45 Millionen Rubel. Umgerechnet sind das etwa 800'000 Franken.

Raffinierter Diebstahl

Wie der Dieb das Geld abheben konnte, war lange unklar. Die Banken fanden weder auf dem System der Maschine noch im Netzwerk eine Schadsoftware. Auch gab es keinerlei Hinweise darauf, dass jemand das Gerät zuvor manipuliert hatte.

Auf dem System des Bancomaten wurde nur eine ungewöhnliche Zeile in einer Protokolldatei gefunden, die da so nicht hingehörte: «take the money, bitch». Das berichtet Motherboard.vice.com.

«Unsere Theorie ist, dass bei der Deinstallation der Malware etwas schiefging und darum diese Zeile zurückblieb», sagt der Sicherheitsforscher Sergey Golovanov von Kaspersky Labs. Die Firma hat sich in den letzten Monaten intensiv mit dem Fall beschäftigt. Nach langer Suche fand Kaspersky Labs einen Weg, den Code und damit den Ablauf des raffinierten Diebstahls zu rekonstruieren.

Ferngesteuerte Maschine

Sie fanden heraus, dass die Banken zuvor gehackt worden waren und es den Angreifern gelungen war, die Automaten quasi fernzusteuern. Die Maschinen erhielten Anweisungen, die sie als vertrauenswürdig einstuften. Die Methode nennt sich Fileless-Attacke, da auf dem Gerät selbst keine Schadsoftware installiert werden muss.

Der eigentliche Diebstahl war danach in drei Stufen aufgeteilt. Mit zwei Kommandozeilen platzierten die Unbekannten das Geld in der Ausgabeeinheit und öffneten dann die Klappe.

Die dritte Anweisung hiess schlicht «take the money, bitch». Diese Botschaft ist auch auf dem Display des Bancomaten angezeigt worden, vermutet Golovanov. Diese Botschaft dürfte an den Mann vor Ort adressiert gewesen sein, also an denjenigen, der das Geld schliesslich einsackte.

Mögliche Drahtzieher

Eine heisse Spur zu den Tätern gibt es bisher nicht. Laut dem Experten könne ein solcher Angriff allerdings genauso von einer Einzelperson wie auch von einem Duo verübt werden.

Golovanov vermutet, dass die Drahtzieher mit der Carbanak Cybergang oder mit der Equation-Group verknüpft sind. Diese Gruppierungen haben in den letzten Jahren über 100 Banken und Finanzdienstleister um mehr als eine Milliarde US-Dollar erleichtert.

(tob)

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Deshalb können Storys, die älter sind als 2 Tage, nicht mehr kommentiert werden. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • Marty am 04.04.2017 23:10 via via Mobile Report Diesen Beitrag melden

    Identität

    Das Herkunftsland von Hackern, welche so operieren, dürfte praktisch nie herausgefunden werden. Jegliche Zuweisungen zu einem Land sind unbewiesen, sowie fast immer eine gewollt gelegte falsche Fährte der Hacker oder gar reine Spekulation seitens einer Nachrichtenagentur.

    einklappen einklappen
  • Ismet am 04.04.2017 21:49 Report Diesen Beitrag melden

    Geil

    Die russischen Hacker wenden sich gegen das eigene Land. Das erinnert mich irgendwie an die Geschichte vom Zauberlehrling.

    einklappen einklappen
  • West_Casten am 04.04.2017 23:03 via via Mobile Report Diesen Beitrag melden

    Money

    Bei uns wäre das sicher auch möglich! Weill viel haben noch Das windows XP, und das hat sicher wo eine lücke -:) aber wenns bei uns kommt ich war's nicht

    einklappen einklappen

Die neusten Leser-Kommentare

  • Rolf am 05.04.2017 14:02 via via Mobile Report Diesen Beitrag melden

    nicht verstanden?

    Wie so oft schlecht recherchiert oder nicht begriffen. "fileless" also dateilos bedeutet keineswegs, dass keine Schadsoftware auf den Geräten installiert werden musste. Es bedeutet nur, dass die Schadsoftware nur im Arbeitsspeicher installiert wurde und nicht via Dateien im Filesystem. Eine profane Methode um keine Spuren zu hinterlassen.

    • MArtin am 05.04.2017 14:16 Report Diesen Beitrag melden

      @Rolf

      ahja und seit wann kann man im Arbeitsspeicher was installieren ? du meinst wohl eher das Daten in denn Ram geladen wurden und dann per befehl ausgeführt werden. Da die dinger(Bankmat) denn ganzen Tag laufen bleiben die Daten auch immer im RAM, eigentlich klever.

    • Rolf am 05.04.2017 16:00 via via Mobile Report Diesen Beitrag melden

      @MArtin

      Ob du es nun in den Arbeitsspeicher laden und von dort aus ausführen statt installieren nennen willst, bleibt dir überlassen. Es macht nur einen Unterschied hinsichtlich der Flüchtigkeit ob ein Programm im Arbeitsspeicher oder auf der Festplatte installiert wird.

    einklappen einklappen
  • Reto am 05.04.2017 11:07 via via Mobile Report Diesen Beitrag melden

    kleinwenig sympathisch

    Klar ist es Diebstahl und nicht fair ein, zwei Bankomate zu plündern... trotzdem muss ich schmunzeln und mag es Ihnen gönnen, denn diese Überfälle wurden anscheinend ohne jegliche Gewalt und mit sehr viel können ausgeführt. Das ist mir persönlich schon etwas symphatisch.! :)

    • Opfer am 05.04.2017 21:32 Report Diesen Beitrag melden

      Sympathisch

      Tja - sagt auch die alte Oma, die als Bankkunde das kleingedruckte im Vertrag nicht gelesen hat und auch fraglich ob da eine Diebstahl-Bank-Versicherung greift. Das Geld ist auf jedenfall weg ...

    einklappen einklappen
  • Peter Vogel am 05.04.2017 10:58 Report Diesen Beitrag melden

    Insider

    Könnte auch ein IT Mitarbeiter der betreffenden Bank gewesen sein.

  • Tjasogeits am 05.04.2017 09:29 Report Diesen Beitrag melden

    Sicherer

    Bitcoins wären schon mal sicher gewesen.. Aber jedem das Seine ;-)

  • Ron am 05.04.2017 07:52 via via Mobile Report Diesen Beitrag melden

    Topunsicher

    Und weiterhin wird uns immer wieder erklärt dss Geld abzugeben und alles per Karte, ebanking usw zu erledigen...topsicher sei das