Bitcoin ATM-kunder hacket ved videoupload, der faktisk var en app

Der er masser af militære ordspil i operativsystemets historie.

Unix har berømt en hel række af personale kendt som Major nummer, der organiserer bataljonerne af enheder såsom diskdrev, tastaturer og webcams i dit system.

Microsoft kæmpede engang med de tilsyneladende inkompetente Generel fiasko, som jævnligt blev set forsøge at læse dine DOS-diske og fejlede.

Linux har ind imellem haft problemer med Oberst panik, hvis udseende efterfølges typisk af tabte data, potentielt beskadigede filsystemer og et presserende behov for at slukke for strømmen og genstarte din computer.

Og et tjekkisk cryptocurrency-firma ser ikke ud til at få den slags pålidelighed, du med rimelighed kunne forvente af en personlighed kaldet Generelle byte.

Rent faktisk, Generelle byte er navnet på selve virksomheden, en virksomhed, der desværre ikke er fremmed for uønskede indtrængen og uautoriseret adgang til cryptocurrency-midler.

En gang er uheld

I august 2022 skrev vi, hvordan General Bytes havde det faldet offer til en server-side-fejl, hvor fjernangribere kunne narre en kundes ATM-server til at give dem adgang til konfigurationssiderne "set op et helt nyt system".

Hvis du nogensinde har genstartet en iPhone eller en Android-enhed, vil du vide, at den person, der udfører den originale opsætning, ender med kontrol over enheden, især fordi de får konfigureret den primære bruger og vælger en helt ny låsekode eller adgangssætning under processen.

Du vil dog også vide, at moderne mobiltelefoner med magt sletter det gamle indhold på enheden, inklusive alle den gamle brugers data, før de geninstallerer og genkonfigurerer operativsystemet, apps og systemindstillinger.

Du kan med andre ord starte igen, men du kan ikke tage over, hvor den sidste bruger slap, ellers kunne du bruge et system reflash (eller en DFU, forkortelse for enhedens firmwareopgradering, som Apple kalder det) for at komme til den tidligere ejers filer.

I General Bytes ATM-serveren neutraliserede den uautoriserede adgangssti, der fik angriberne ind på "start forfra"-opsætningsskærmene, ikke nogen data på den infiltrerede enhed først...

…så skurkene kunne misbruge serverens "oprette en ny administrativ konto"-proces til at oprette en ekstra admin-bruger på en eksisterende system.

To gange ligner skødesløshed

Sidste gang led General Bytes, hvad man kan kalde et malwarefrit angreb, hvor forbryderne ikke implanterede nogen ondsindet kode.

2022-angrebet blev orkestreret blot gennem ondsindede konfigurationsændringer, med det underliggende operativsystem og serversoftware urørt.

Denne gang brugte angriberne en mere konventionel tilgang der var afhængig af et implantat: skadelig software eller malware kort sagt, det blev uploadet via et sikkerhedshul og derefter brugt som det, man kunne kalde et "alternativt kontrolpanel".

På almindeligt engelsk: skurkene fandt en fejl, der gjorde det muligt for dem at installere en bagdør, så de kunne komme ind derefter uden tilladelse.

Som General Bytes udtrykte det:

Angriberen var i stand til at uploade sin egen Java-applikation eksternt via masterservicegrænsefladen, der blev brugt af terminaler til at uploade videoer og køre den ved hjælp af batm-brugerrettigheder.

Vi er ikke sikre på, hvorfor en pengeautomat har brug for en mulighed for fjernopladning af billeder og videoer, som om det var en slags community-blogside eller social medietjeneste...

…men det ser ud til, at Coin ATM Server-systemet indeholder netop en sådan funktion, formodentlig så annoncer og andre særlige tilbud kan promoveres direkte til kunder, der besøger pengeautomaterne.

Uploads, der ikke er, hvad de ser ud til

Desværre skal enhver server, der tillader uploads, selvom de kommer fra en betroet (eller i det mindste en godkendt kilde), være forsigtig med flere ting:

• Uploads skal skrives ind i et iscenesættelsesområde, hvor de ikke umiddelbart kan læses tilbage udefra. Dette er med til at sikre, at upålidelige brugere ikke kan forvandle din server til et midlertidigt leveringssystem for uautoriseret eller upassende indhold via en URL, der ser legitim ud, fordi den har dit brands imprimatur.
• Uploads skal kontrolleres for at sikre, at de matcher de tilladte filtyper. Dette hjælper med at forhindre useriøse brugere i at fælde dit uploadområde ved at fylde det med scripts eller programmer, der senere kan ende med at blive eksekveret på serveren i stedet for blot at blive serveret til en efterfølgende besøgende.
• Uploads skal gemmes med de mest restriktive adgangstilladelser som muligt, således at booby-fangede eller korrupte filer ikke utilsigtet kan udføres eller endda tilgås fra mere sikre dele af systemet.

General Bytes, det ser ud til, ikke tog disse forholdsregler, med det resultat, at angriberne var i stand til at udføre en bred vifte af privatlivs-sprængende og cryptocurrency-ripping handlinger.

Den ondsindede aktivitet omfattede tilsyneladende: læsning og dekryptering af godkendelseskoder, der blev brugt til at få adgang til penge i hot wallets og børser; sende midler fra varme tegnebøger; download af brugernavne og hashes til adgangskoder; hentning af kundens kryptografiske nøgler; slukke for 2FA; og adgang til hændelseslogfiler.

Hvad skal jeg gøre?

• Hvis du kører General Bytes Coin ATM-systemer, læs virksomhedens brudrapport, som fortæller dig, hvordan du leder efter såkaldte IoC'er (indikatorer for kompromis), og hvad du skal gøre, mens du venter på, at patches udgives.

Bemærk, at virksomheden har bekræftet, at både selvstændige Coin ATM-servere og dets egne cloud-baserede systemer (hvor du betaler General Bytes en afgift på 0.5 % på alle transaktioner til gengæld for, at de kører dine servere for dig) var påvirket.

Interessant nok rapporterer General Bytes, at det bliver det "lukker sin skytjeneste", og insisterer på det "du skal installere din egen selvstændige server". (Rapporten giver ikke en deadline, men virksomheden tilbyder allerede aktivt migreringssupport.)

I en vending, der vil tage virksomheden i den modsatte retning af de fleste andre moderne serviceorienterede virksomheder, insisterer General Bytes på, at "det er teoretisk (og praktisk talt) umuligt at sikre et system, der giver adgang til flere operatører på samme tid, hvor nogle af dem er dårlige aktører."

• Hvis du har brugt en General Bytes ATM for nylig, kontakt din cryptocurrency-børs eller børser for at få råd om, hvad du skal gøre, og om nogen af ​​dine penge er i fare.

• Hvis du er programmør, der passer på en onlinetjeneste, uanset om det er selv-hostet eller cloud-hostet, så læs og lyt til vores råd ovenfor om uploads og upload-mapper.

• Hvis du er en cryptocurrency-entusiast, behold så lidt af dine kryptomønter, som du kan i såkaldte varme tegnebøger.

Hot wallets er i bund og grund penge, der er klar til at handle med et øjebliks varsel (måske automatisk), og kræver typisk enten, at du overlader dine egne kryptografiske nøgler til en anden eller midlertidigt overfører penge til en eller flere af deres tegnebøger.

---

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
• Kilde: https://nakedsecurity.sophos.com/2023/03/20/bitcoin-atm-customers-hacked-by-video-upload-that-was-actually-an-app/