Kunden von Bitcoin-Geldautomaten wurden durch Video-Upload gehackt, das eigentlich eine App war

Es gibt viele militärische Wortspiele in der Geschichte der Betriebssysteme.

Unix hat bekanntermaßen eine ganze Reihe von Mitarbeitern, die als bekannt sind Hauptnummer, die die Bataillone von Geräten wie Festplatten, Tastaturen und Webcams in Ihrem System organisieren.

Microsoft kämpfte einst mit scheinbar Inkompetenten Allgemeiner Misserfolg, der regelmäßig dabei beobachtet wurde, wie er versuchte, Ihre DOS-Disketten zu lesen, und scheiterte.

Linux hat zeitweise Probleme mit Oberst Panik, deren Aussehen wird in der Regel von verlorenen Daten, möglicherweise beschädigten Dateisystemen und der dringenden Notwendigkeit, den Computer auszuschalten und neu zu starten, gefolgt.

Und ein tschechisches Kryptowährungsunternehmen scheint nicht die Art von Zuverlässigkeit zu bekommen, die man vernünftigerweise von einer Persönlichkeit mit Namen erwarten könnte Allgemeine Bytes.

Eigentlich Allgemeine Bytes ist der Name des Unternehmens selbst, ein Geschäft, das unerwünschten Eindringlingen und unbefugtem Zugriff auf Kryptowährungsfonds leider nicht fremd ist.

Einmal ist Unglück

Im August 2022 haben wir geschrieben, wie General Bytes es getan hatte gefallenes Opfer zu einem serverseitigen Fehler, bei dem entfernte Angreifer den ATM-Server eines Kunden austricksen konnten, um ihm Zugriff auf die Konfigurationsseiten zum Einrichten eines brandneuen Systems zu gewähren.

Wenn Sie jemals ein iPhone oder ein Android-Gerät neu geflasht haben, wissen Sie, dass die Person, die die ursprüngliche Einrichtung durchführt, letztendlich die Kontrolle über das Gerät hat, insbesondere weil sie den Hauptbenutzer konfigurieren und einen brandneuen Sperrcode auswählen kann oder Passphrase während des Vorgangs.

Sie werden jedoch auch wissen, dass moderne Mobiltelefone den alten Inhalt des Geräts, einschließlich aller Daten des alten Benutzers, zwangsweise löschen, bevor sie das Betriebssystem, Apps und Systemeinstellungen neu installieren und neu konfigurieren.

Mit anderen Worten, Sie können erneut beginnen, aber Sie können nicht dort weitermachen, wo der letzte Benutzer aufgehört hat, da Sie sonst einen System-Reflash (oder eine DFU, kurz für Geräte-Firmware-Upgrade, wie Apple es nennt), um an die Dateien des Vorbesitzers zu gelangen.

Auf dem ATM-Server von General Bytes hat der nicht autorisierte Zugriffspfad, der die Angreifer in die Setup-Bildschirme „von vorne anfangen“ brachte, jedoch zunächst keine Daten auf dem infiltrierten Gerät neutralisiert …

…so dass die Gauner den Prozess „Ein neues Administratorkonto einrichten“ des Servers missbrauchen könnten, um einen zusätzlichen Administratorbenutzer auf einem zu erstellen vorhandenes System.

Zweimal sieht es nach Nachlässigkeit aus

Beim letzten Mal erlitt General Bytes einen Angriff ohne Malware, bei dem die Kriminellen keinen bösartigen Code implantierten.

Der Angriff von 2022 wurde einfach durch böswillige Konfigurationsänderungen orchestriert, wobei das zugrunde liegende Betriebssystem und die Serversoftware unberührt blieben.

Diesmal nutzten die Angreifer a konventionellerer Ansatz die sich auf ein Implantat stützten: bösartige Software, oder Malware Kurz gesagt, das wurde über eine Sicherheitslücke hochgeladen und dann als sogenanntes „alternatives Bedienfeld“ verwendet.

Im Klartext: Die Gauner fanden einen Fehler, der es ihnen ermöglichte, eine Hintertür zu installieren, um danach ohne Erlaubnis hineinzukommen.

Wie General Bytes es ausdrückte:

Der Angreifer konnte seine eigene Java-Anwendung aus der Ferne über die Master-Service-Schnittstelle hochladen, die von Terminals zum Hochladen von Videos verwendet wird, und sie mit batm-Benutzerrechten ausführen.

Wir sind uns nicht sicher, warum ein Geldautomat eine Option zum Hochladen von Bildern und Videos aus der Ferne benötigt, als wäre es eine Art Community-Blogging-Site oder ein Social-Media-Dienst …

…aber es scheint, dass das Coin ATM Server-System genau eine solche Funktion enthält, vermutlich, damit Anzeigen und andere Sonderangebote direkt bei Kunden beworben werden können, die die Geldautomaten besuchen.

Uploads, die nicht das sind, was sie zu sein scheinen

Leider muss jeder Server, der Uploads zulässt, selbst wenn sie von einer vertrauenswürdigen (oder zumindest authentifizierten Quelle) stammen, auf mehrere Dinge achten:

• Uploads müssen in einen Staging-Bereich geschrieben werden, wo sie nicht sofort von außen zurückgelesen werden können. Dadurch wird sichergestellt, dass nicht vertrauenswürdige Benutzer Ihren Server nicht in ein vorübergehendes Bereitstellungssystem für nicht autorisierte oder unangemessene Inhalte über eine URL verwandeln können, die legitim aussieht, weil sie das Imprimatur Ihrer Marke trägt.
• Uploads müssen überprüft werden, um sicherzustellen, dass sie den zulässigen Dateitypen entsprechen. Dies hilft, böswillige Benutzer daran zu hindern, Ihren Upload-Bereich mit Sprengfallen zu überfallen, indem sie ihn mit Skripten oder Programmen übersäten, die später möglicherweise auf dem Server ausgeführt werden, anstatt einfach einem nachfolgenden Besucher zugestellt zu werden.
• Uploads müssen mit möglichst restriktiven Zugriffsberechtigungen gespeichert werden, damit mit Sprengfallen versehene oder beschädigte Dateien nicht versehentlich ausgeführt oder sogar von sichereren Teilen des Systems aus darauf zugegriffen werden kann.

General Bytes hat diese Vorsichtsmaßnahmen anscheinend nicht getroffen, was dazu führte, dass die Angreifer in der Lage waren, eine Vielzahl von Aktionen durchzuführen, die die Privatsphäre verletzen und Kryptowährungen knacken.

Die böswillige Aktivität umfasste offenbar: Lesen und Entschlüsseln von Authentifizierungscodes, die für den Zugriff auf Gelder in Hot Wallets und Börsen verwendet werden; Senden von Geldern aus Hot Wallets; Herunterladen von Benutzernamen und Passwort-Hashes; Abrufen der kryptografischen Schlüssel des Kunden; 2FA ausschalten; und Zugriff auf Ereignisprotokolle.

Was ist zu tun?

• Wenn Sie Geldautomaten von General Bytes Coin betreiben, lesen Sie die des Unternehmens Verletzungsbericht, das Ihnen sagt, wie Sie nach sogenannten IoCs (Indikatoren für Kompromisse) und was zu tun ist, während Sie auf die Veröffentlichung von Patches warten.

Beachten Sie, dass das Unternehmen bestätigt hat, dass sowohl eigenständige Coin ATM-Server als auch seine eigenen Cloud-basierten Systeme (bei denen Sie General Bytes eine Gebühr von 0.5 % auf alle Transaktionen zahlen, als Gegenleistung dafür, dass sie Ihre Server für Sie betreiben) betroffen waren.

Interessanterweise berichtet General Bytes, dass dies der Fall sein wird „Schließen seines Cloud-Dienstes“, und darauf bestehen „Sie müssen Ihren eigenen Standalone-Server installieren“. (Der Bericht gibt keine Frist an, aber das Unternehmen bietet bereits aktiv Migrationsunterstützung an.)

In einer Kehrtwende, die das Unternehmen in die entgegengesetzte Richtung zu den meisten anderen zeitgenössischen serviceorientierten Unternehmen führen wird, besteht General Bytes darauf „Es ist theoretisch (und praktisch) unmöglich, ein System zu sichern, das mehreren Betreibern gleichzeitig Zugang gewährt, wenn einige von ihnen schlechte Akteure sind.“

• Wenn Sie kürzlich einen Geldautomaten von General Bytes verwendet haben, Wenden Sie sich an Ihre Kryptowährungsbörse oder -börsen, um Rat zu erhalten, was zu tun ist und ob eines Ihrer Gelder gefährdet ist.

• Wenn Sie ein Programmierer sind, der einen Online-Dienst betreut, Ob selbst gehostet oder in der Cloud gehostet, lesen und befolgen Sie unsere obigen Ratschläge zu Uploads und Upload-Verzeichnissen.

• Wenn Sie ein Kryptowährungs-Enthusiast sind, Bewahren Sie so wenig wie möglich von Ihrem Kryptocoin-Vorrat in sogenannten heiße Geldbörsen.

Hot Wallets sind im Wesentlichen Gelder, die jederzeit (möglicherweise automatisch) gehandelt werden können und normalerweise erfordern, dass Sie entweder Ihre eigenen kryptografischen Schlüssel jemand anderem anvertrauen oder Gelder vorübergehend in eine oder mehrere ihrer Brieftaschen überweisen.

---

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
• Quelle: https://nakedsecurity.sophos.com/2023/03/20/bitcoin-atm-customers-hacked-by-video-upload-that-was-actually-an-app/