Du ville ikke vide det fra at besøge virksomhedens hovedwebsted, men General Bytes, et tjekkisk firma, der sælger Bitcoin pengeautomater, er opfordrer sine brugere til patch en kritisk pengedrænende fejl i sin serversoftware.
Virksomheden hævder et verdensomspændende salg af mere end 13,000 pengeautomater, som sælges for $5000 og opefter, afhængigt af funktioner og udseende.
Ikke alle lande har taget pænt imod cryptocurrency pengeautomater - den britiske regulator, f.eks. advaret i marts 2022 at ingen af de pengeautomater, der opererede i landet på det tidspunkt, var officielt registreret, og sagde, at det ville være det "kontakt operatørerne med besked om, at maskinerne skal lukkes ned".
Vi gik for at tjekke vores lokale krypto-hæveautomat på det tidspunkt og fandt, at den viste en "Terminal offline"-meddelelse. (Enheden er siden blevet fjernet fra indkøbscenteret, hvor den blev installeret.)
Ikke desto mindre siger General Bytes, at det betjener kunder i mere end 140 lande, og dets globale kort over ATM-placeringer viser en tilstedeværelse på alle kontinenter undtagen Antarktis.
Sikkerhedshændelse rapporteret
Ifølge General Bytes produktvidenbase er en "sikkerhedshændelse" på et alvorlighedsniveau på Højeste var opdaget i sidste uge.
Med virksomhedens egne ord:
Angriberen var i stand til at oprette en admin-bruger eksternt via CAS-administrativ grænseflade via et URL-kald på siden, der bruges til standardinstallationen på serveren og oprettelse af den første administrationsbruger.
Så vidt vi kan se, CAS er en forkortelse for Mønt ATM-server, og enhver operatør af General Bytes cryptocurrency pengeautomater har brug for en af disse.
Du kan hoste dit CAS hvor som helst du vil, det ser ud til, også på din egen hardware i dit eget serverrum, men General Bytes har en særlig aftale med hostingfirmaet Digital Ocean om en billig cloud-løsning. (Du kan også lade General Bytes køre serveren for dig i skyen til gengæld for en reduktion på 0.5 % af alle kontanttransaktioner.)
Ifølge hændelsesrapporten udførte angriberne en portscanning af Digital Oceans cloud-tjenester og ledte efter lyttende webtjenester (porte 7777 eller 443), der identificerede dem som General Bytes CAS-servere, for at finde en liste over potentielle ofre.
Bemærk, at den sårbarhed, der blev udnyttet her, ikke var nede til Digital Ocean eller begrænset til cloud-baserede CAS-instanser. Vi gætter på, at angriberne simpelthen besluttede, at Digital Ocean var et godt sted at begynde at lede. Husk, at med en meget højhastigheds internetforbindelse (f.eks. 10Gbit/sek.) og ved hjælp af frit tilgængelig software, kan beslutsomme angribere nu scanne hele IPv4 internetadresserummet på timer eller endda minutter. Det er sådan, offentlige sårbarhedssøgemaskiner som Shodan og Censys arbejder, der konstant trawler internettet for at finde ud af, hvilke servere og hvilke versioner der i øjeblikket er aktive på hvilke online lokationer.
Tilsyneladende tillod en sårbarhed i selve CAS angriberne at manipulere indstillingerne for ofrets kryptovalutatjenester, herunder:
- Tilføjelse af en ny bruger med administrative rettigheder.
- Bruger denne nye administratorkonto at omkonfigurere eksisterende pengeautomater.
- Omdirigering af alle ugyldige betalinger til deres egen tegnebog.
Så vidt vi kan se, betyder det, at de udførte angreb var begrænset til overførsler eller udbetalinger, hvor kunden lavede en fejl.
I sådanne tilfælde ser det ud til, at i stedet for at ATM-operatøren indsamler de forkerte midler, så de efterfølgende kunne blive refunderet eller omdirigeret korrekt...
…midlerne ville gå direkte og irreversibelt til angriberne.
General Bytes sagde ikke, hvordan denne fejl kom til dens opmærksomhed, selvom vi forestiller os, at enhver ATM-operatør, der står over for et supportopkald om en mislykket transaktion, hurtigt ville bemærke, at deres serviceindstillinger var blevet manipuleret, og slå alarm.
Indikatorer for kompromis
Angriberne, så det ud til, efterlod sig forskellige afslørende tegn på deres aktivitet, så General Bytes var i stand til at identificere adskillige såkaldte Indikatorer for kompromis (IoC'er) for at hjælpe deres brugere med at identificere hackede CAS-konfigurationer.
(Husk selvfølgelig, at fraværet af IoC'er ikke garanterer fraværet af nogen angribere, men kendte IoC'er er et praktisk sted at starte, når det kommer til trusselsdetektion og -respons.)
Heldigvis, måske på grund af det faktum, at denne udnyttelse var afhængig af ugyldige betalinger, snarere end at lade angriberne tømme pengeautomater direkte, løber de samlede økonomiske tab i denne hændelse ikke ind i mange millioner dollar beløb ofte forbundet med cryptocurrency bommerter.
General Bytes hævdede i går [2022-08-22], at "[u]ncidenten blev rapporteret til tjekkisk politi. Samlet skade forårsaget af pengeautomatoperatører baseret på deres feedback er 16,000 USD."
Virksomheden deaktiverede også automatisk alle pengeautomater, som den administrerede på vegne af sine kunder, og krævede således, at disse kunder logger ind og gennemgår deres egne indstillinger, før de genaktiverer deres pengeautomater.
Hvad skal jeg gøre?
General Bytes har angivet en 11-trins proces som dets kunder skal følge for at afhjælpe dette problem, herunder:
- lappe CAS-serveren.
- Gennemgang af firewall-indstillinger at begrænse adgangen til så få netværksbrugere som muligt.
- Deaktivering af ATM-terminaler så serveren kan bringes frem igen til gennemgang.
- Gennemgang af alle indstillinger, inklusive eventuelle falske terminaler, der måtte være blevet tilføjet.
- Genaktivering af terminaler først efter at have gennemført alle trusselsjagttrin.
Dette angreb er i øvrigt en stærk påmindelse om, hvorfor nutidig trusselsrespons handler ikke kun om at lappe huller og fjerne malware.
I dette tilfælde implanterede de kriminelle ikke nogen malware: angrebet blev orkestreret blot gennem ondsindede konfigurationsændringer, med det underliggende operativsystem og serversoftware urørt.
Ikke nok tid eller personale?
Lær mere om Sophos Managed Detection and Response:
24/7 trusselsjagt, detektion og reaktion ▶
Udvalgt billede af forestillede Bitcoins via Unsplash-licens.
- Pengeautomat
- blockchain
- BTC
- coingenius
- krypto
- cryptocurrency
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- firewall
- Generelle byte
- Kaspersky
- malware
- Mcafee
- Naked Security
- Nexbloc
- fantom tilbagetrækning
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- VPN
- sårbarhed
- website sikkerhed
- zephyrnet
![S3 Ep 126: Prisen på hurtig mode (og feature creep) [Lyd + tekst]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-300x156.png "S3 Ep 126: Prisen på hurtig mode (og feature creep) [Lyd + tekst]")
