Einem Sicher­heits­for­scher ist es dem Ver­neh­men nach gelun­gen, durch eine Lücke in der Sicher­heits­lö­sung Vyna­mic Secu­ri­ty Suite (VSS) des Geld­au­to­ma­ten­her­stel­lers Die­bold Nix­dorf, die Fest­plat­ten­ver­schlüs­se­lung (Linux Par­ti­ti­on) anfäl­li­ger Geld­au­to­ma­ten aus­zu­he­beln, bestimm­te Sys­tem­va­li­die­rungs­da­tei­en zu mani­pu­lie­ren und infol­ge­des­sen die Kon­trol­le über anfäl­li­ge Geld­au­to­ma­ten zu über­neh­men. Dar­über berich­tet u.a. Golem. Für den erfolg­rei­chen Angriff ist jedoch der phy­si­sche Zugang zum GAA erforderlich.

Der For­scher hat sein Vor­ge­hen in dem 85-sei­ti­gen Paper Where’s the Money: Defea­ting ATM Disk Encryp­ti­on aus­führ­lich beschrieben.

Der Befund mit Empfehlung:

Die in die­sem Doku­ment auf­ge­zeig­te Angriffs­flä­che lässt sich leicht behe­ben, indem das VSS-Fest­plat­ten­ver­schlüs­se­lungs­mo­dul von DN zuguns­ten von bran­chen­weit aner­kann­ten Lösun­gen wie Bit­Lo­cker von Micro­soft auf­ge­ge­ben wird. Die Ursa­che für die skiz­zier­te Angriffs­flä­che liegt dar­in, dass P5 unver­schlüs­selt ist und einem bös­wil­li­gen Akteur dadurch unend­lich vie­le Mög­lich­kei­ten offen­ste­hen. Die Geld­au­to­ma­ten­lö­sun­gen der ein­zel­nen Her­stel­ler wer­den mit einer Stan­dard­in­stal­la­ti­on von Micro­soft Win­dows gelie­fert, die nur in begrenz­tem Umfang gehär­tet wur­de. Die­se Sys­te­me wer­den in dem Kon­text ver­mark­tet, dass sie eine eini­ger­ma­ßen schlüs­sel­fer­ti­ge Lösung bie­ten. Nach unse­ren Beob­ach­tun­gen stel­len die stan­dard­mä­ßi­gen Här­tungs­maß­nah­men jedoch nicht sicher, dass der Geld­au­to­mat vor bös­wil­li­gem Miss­brauch geschützt ist. Es wird emp­foh­len, dass die Nut­zer der ATM-Lösung ihre unter­neh­mens­ei­ge­nen Sicher­heits­richt­li­ni­en und ‑kon­trol­len auf den Geld­au­to­ma­ten über­tra­gen. Dazu gehö­ren das Ändern von Stan­dard­pass­wör­tern, die Erwei­te­rung des Pass­wort­zei­chen­sat­zes und die Instal­la­ti­on einer ver­trau­ens­wür­di­gen EDR-Lösung.

Das alles erin­nert ein wenig an die Akti­vi­tä­ten der sog. Car­ba­nak-Gang.

Der Name Car­ba­nak steht sowohl für einen Betrugs­fall als auch für das damit im Zusam­men­hang ste­hen­de APT, d. h. Schad­pro­gramm, das im Jahr 2014 ent­deckt wur­de. Mit Hil­fe von Phis­hing haben Kri­mi­nel­le bis zu einer Mil­li­ar­de US-Dol­lar von 100 Ban­ken in über 30 Län­dern wie Russ­land, der Ukrai­ne, der EU und der Volks­re­pu­blik Chi­na gestoh­len. Pro infil­trier­ter Bank konn­ten sie zwi­schen 2,5 und zehn Mil­lio­nen Dol­lar (2,2 bis 8,8 Mil­lio­nen Euro) ent­wen­den[1]Vgl. dazu: Cabar­nak – der bis­lang größ­te Bank­raub der Geschich­te.