لن تعرف ذلك من زيارة الموقع الرئيسي للشركة ، لكن شركة General Bytes ، وهي شركة تشيكية تبيع أجهزة الصراف الآلي Bitcoin ، هي حث مستخدميها إلى تصحيح خطأ حرج يستنزف الأموال في برنامج الخادم الخاص به.
تدعي الشركة مبيعات أكثر من 13,000 جهاز صراف آلي في جميع أنحاء العالم ، والتي تباع بالتجزئة بمبلغ 5000 دولار وما فوق ، اعتمادًا على الميزات والمظهر.
لم تتفضل جميع البلدان باستخدام أجهزة الصراف الآلي للعملات المشفرة - المنظم البريطاني ، على سبيل المثال ، حذر في مارس 2022 أنه لم يتم تسجيل أي من أجهزة الصراف الآلي العاملة في البلاد في ذلك الوقت رسميًا ، وقالوا إنها ستكون كذلك "الاتصال بالمشغلين لإبلاغهم بإغلاق الآلات".
ذهبنا للتحقق من جهاز الصراف الآلي المحلي الخاص بنا في ذلك الوقت ، ووجدنا أنه يعرض رسالة "Terminal Offline". (تمت إزالة الجهاز منذ ذلك الحين من مركز التسوق حيث تم تثبيته).
ومع ذلك ، تقول شركة General Bytes إنها تخدم العملاء في أكثر من 140 دولة ، وتظهر خريطتها العالمية لمواقع أجهزة الصراف الآلي وجودًا في كل قارة باستثناء القارة القطبية الجنوبية.
تم الإبلاغ عن حادث أمني
وفقًا لقاعدة معرفة منتج General Bytes ، فإن "حادث أمان" بمستوى خطورة يبلغ أعلى وكان اكتشف الأسبوع الماضي.
على حد تعبير الشركة:
تمكن المهاجم من إنشاء مستخدم إداري عن بُعد عبر واجهة CAS الإدارية عبر استدعاء عنوان URL على الصفحة المستخدمة للتثبيت الافتراضي على الخادم وإنشاء مستخدم الإدارة الأول.
بقدر ما نستطيع أن نقول ، CAS هو اختصار ل خادم عملة الصراف الآلي، ويحتاج كل مشغل من أجهزة الصراف الآلي للعملات المشفرة من نوع General Bytes إلى أحد هذه الأجهزة.
يمكنك استضافة CAS في أي مكان تريد ، على ما يبدو ، بما في ذلك على أجهزتك الخاصة في غرفة الخادم الخاصة بك ، لكن General Bytes لديها صفقة خاصة مع شركة Digital Ocean للاستضافة من أجل حل سحابي منخفض التكلفة. (يمكنك أيضًا السماح لـ General Bytes بتشغيل الخادم نيابة عنك في السحابة مقابل خفض 0.5٪ من جميع المعاملات النقدية.)
وفقًا لتقرير الحادث ، أجرى المهاجمون فحصًا للمنافذ للخدمات السحابية لـ Digital Ocean ، بحثًا عن خدمات الويب للاستماع (المنافذ 7777 أو 443) التي حددت أنفسهم على أنهم خوادم General Bytes CAS ، من أجل العثور على قائمة الضحايا المحتملين.
لاحظ أن الثغرة الأمنية التي تم استغلالها هنا لم تكن مرتبطة بالمحيط الرقمي أو مقتصرة على مثيلات CAS المستندة إلى مجموعة النظراء. نحن نخمن أن المهاجمين قرروا ببساطة أن Digital Ocean كانت مكانًا جيدًا لبدء البحث. تذكر أنه مع اتصال إنترنت عالي السرعة (على سبيل المثال 10 جيجابت / ثانية) ، وباستخدام برنامج متاح مجانًا ، يمكن للمهاجمين المحددين الآن مسح مساحة عنوان الإنترنت IPv4 بالكامل في غضون ساعات ، أو حتى دقائق. هذه هي الطريقة التي تعمل بها محركات البحث عن الثغرات الأمنية العامة مثل Shodan و Censys ، حيث تتجول باستمرار على الإنترنت لاكتشاف الخوادم والإصدارات النشطة حاليًا في أي مواقع على الإنترنت.
على ما يبدو ، سمحت ثغرة أمنية في CAS نفسها للمهاجمين بالتلاعب بإعدادات خدمات العملة المشفرة للضحية ، بما في ذلك:
- إضافة مستخدم جديد بامتيازات إدارية.
- باستخدام حساب المسؤول الجديد هذا لإعادة تكوين أجهزة الصراف الآلي الموجودة.
- تحويل جميع المدفوعات غير الصالحة إلى محفظة خاصة بهم.
بقدر ما يمكننا أن نرى ، هذا يعني أن الهجمات التي تم إجراؤها اقتصرت على عمليات النقل أو السحب حيث أخطأ العميل.
في مثل هذه الحالات ، على ما يبدو ، بدلاً من قيام مشغل أجهزة الصراف الآلي بجمع الأموال التي تم توجيهها بشكل خاطئ بحيث يمكن فيما بعد استردادها أو إعادة توجيهها بشكل صحيح ...
... الأموال ستذهب مباشرة وبشكل لا رجعة فيه إلى المهاجمين.
لم تذكر General Bytes كيف وصل هذا الخلل إلى انتباهها ، على الرغم من أننا نتخيل أن أي مشغل ATM يواجه مكالمة دعم حول معاملة فاشلة سيلاحظ بسرعة أن إعدادات الخدمة الخاصة به قد تم العبث بها ، ويطلق الإنذار.
مؤشرات التسوية
يبدو أن المهاجمين قد تركوا وراءهم علامات منبهة مختلفة لنشاطهم ، حتى أن الجنرال بايت كان قادرًا على تحديد العديد مما يسمى مؤشرات التسوية (IoCs) لمساعدة مستخدميها على تحديد تكوينات CAS المخترقة.
(تذكر ، بالطبع ، أن غياب IoCs لا يضمن عدم وجود أي مهاجمين ، ولكن IoCs المعروفة هي مكان سهل للبدء عندما يتعلق الأمر باكتشاف التهديدات والاستجابة لها.)
لحسن الحظ ، ربما بسبب حقيقة أن هذا الاستغلال اعتمد على مدفوعات غير صالحة ، بدلاً من السماح للمهاجمين باستنزاف أجهزة الصراف الآلي بشكل مباشر ، فإن الخسائر المالية الإجمالية في هذا الحادث لا تصل إلى عدة ملايين من الدولارات المبالغ في كثير من الأحيان مع أخطاء العملة المشفرة.
ادعى الجنرال بايت أمس [2022-08-22] أن "[i] تم الإبلاغ عن الحادث إلى الشرطة التشيكية. إجمالي الضرر الذي لحق بمشغلي أجهزة الصراف الآلي بناءً على ملاحظاتهم هو 16,000 دولار أمريكي ".
كما قامت الشركة تلقائيًا بإلغاء تنشيط أي أجهزة صراف آلي كانت تديرها نيابة عن عملائها ، مما يتطلب من هؤلاء العملاء تسجيل الدخول ومراجعة إعداداتهم الخاصة قبل إعادة تنشيط أجهزة الصراف الآلي الخاصة بهم.
ماذا ستفعلين.. إذًا؟
قام General Bytes بإدراج ملف عملية شنومك-ستيب التي يتعين على عملائها اتباعها لحل هذه المشكلة ، بما في ذلك:
- الترقيع خادم CAS.
- مراجعة إعدادات جدار الحماية لتقييد الوصول إلى أقل عدد ممكن من مستخدمي الشبكة.
- تعطيل أجهزة الصراف الآلي حتى يمكن إحضار الخادم مرة أخرى للمراجعة.
- مراجعة جميع الإعدادات، بما في ذلك أي محطات زائفة قد تمت إضافتها.
- تنشيط المحطات فقط بعد إكمال جميع خطوات البحث عن التهديدات.
هذا الهجوم ، بالمناسبة ، هو تذكير قوي بأسباب الاستجابة للتهديد المعاصر لا يقتصر الأمر فقط على ترقيع الثقوب وإزالة البرامج الضارة.
في هذه الحالة ، لم يقم المجرمون بزرع أي برامج ضارة: تم تنظيم الهجوم ببساطة من خلال تغييرات التكوين الخبيثة ، مع ترك نظام التشغيل الأساسي وبرنامج الخادم كما هو.
لا يوجد وقت كاف أو فريق عمل؟
معرفة المزيد عن تمكنت Sophos من الكشف والاستجابة:
24/7 مطاردة التهديدات واكتشافها والاستجابة لها ▶
صورة مميزة لبيتكوينز المتخيلة عبر ترخيص Unsplash.
- ماكينة الصراف الآلي
- سلسلة كتلة
- BTC
- عملة عبقرية
- التشفير
- العملات المشفرة
- محافظ cryptocurrency
- cryptoexchange
- الأمن الإلكتروني
- مجرمو الإنترنت
- الأمن السيبراني
- وزارة الأمن الداخلي
- محافظ رقمية
- جدار الحماية
- البايت العام
- Kaspersky
- البرمجيات الخبيثة
- مكافي
- الأمن عارية
- NexBLOC
- الانسحاب الوهمي
- أفلاطون
- أفلاطون ع
- الذكاء افلاطون البيانات
- لعبة أفلاطون
- أفلاطون داتا
- بلاتوغمينغ
- VPN
- الضعف
- أمن الانترنت
- زفيرنت
