Sie würden es nicht wissen, wenn Sie die Hauptwebsite des Unternehmens besuchen, aber General Bytes, ein tschechisches Unternehmen, das Bitcoin-Geldautomaten verkauft, ist es fordert seine Nutzer auf zu Patchen Sie einen kritischen Fehler, der Geld verschlingt in seiner Serversoftware.
Das Unternehmen behauptet, weltweit mehr als 13,000 Geldautomaten verkauft zu haben, die je nach Ausstattung und Aussehen 5000 US-Dollar und mehr kosten.
Nicht alle Länder haben Kryptowährungs-Geldautomaten gut aufgenommen – die britische Regulierungsbehörde zum Beispiel März 2022 gewarnt dass keiner der damals im Land betriebenen Geldautomaten offiziell registriert war, und sagte, dass dies der Fall sein würde „Kontaktaufnahme mit den Bedienern mit der Anweisung, die Maschinen abzuschalten“.
Wir haben damals unseren lokalen Krypto-Geldautomaten überprüft und festgestellt, dass er die Meldung „Terminal offline“ anzeigt. (Das Gerät wurde inzwischen aus dem Einkaufszentrum, in dem es installiert war, entfernt.)
Dennoch sagt General Bytes, dass es Kunden in mehr als 140 Ländern bedient, und seine globale Karte der Geldautomatenstandorte zeigt eine Präsenz auf allen Kontinenten außer der Antarktis.
Sicherheitsvorfall gemeldet
Laut der Produktwissensdatenbank von General Bytes ist ein „Sicherheitsvorfall“ mit einem Schweregrad von Höchste wurde letzte Woche entdeckt.
In den eigenen Worten des Unternehmens:
Der Angreifer konnte aus der Ferne über die CAS-Administrationsschnittstelle über einen URL-Aufruf auf der Seite, die für die Standardinstallation auf dem Server verwendet wird, einen Admin-Benutzer erstellen und den ersten Administrationsbenutzer erstellen.
Soweit wir das beurteilen können, CAS ist die Abkürzung für Coin-ATM-Server, und jeder Betreiber von General Bytes Kryptowährungs-Geldautomaten benötigt eine davon.
Sie können Ihren CAS scheinbar überall hosten, auch auf Ihrer eigenen Hardware in Ihrem eigenen Serverraum, aber General Bytes hat einen Sondervertrag mit dem Hosting-Unternehmen Digital Ocean für eine kostengünstige Cloud-Lösung. (Sie können General Bytes den Server auch für Sie in der Cloud betreiben lassen, im Gegenzug erhalten Sie eine Kürzung von 0.5 % aller Bargeldtransaktionen.)
Laut Vorfallbericht führten die Angreifer einen Port-Scan der Cloud-Dienste von Digital Ocean durch und suchten nach lauschenden Webdiensten (Ports 7777 oder 443), die sich als CAS-Server von General Bytes identifizierten, um eine Liste potenzieller Opfer zu finden.
Beachten Sie, dass die hier ausgenutzte Schwachstelle nicht auf Digital Ocean zurückzuführen war oder auf Cloud-basierte CAS-Instanzen beschränkt war. Wir vermuten, dass die Angreifer einfach entschieden haben, dass Digital Ocean ein guter Ort ist, um mit der Suche zu beginnen. Denken Sie daran, dass mit einer sehr schnellen Internetverbindung (z. B. 10 Gbit/s) und unter Verwendung frei verfügbarer Software entschlossene Angreifer jetzt den gesamten IPv4-Internetadressraum in Stunden oder sogar Minuten scannen können. Auf diese Weise arbeiten öffentliche Suchmaschinen für Schwachstellen wie Shodan und Censys, indem sie kontinuierlich das Internet durchforsten, um herauszufinden, welche Server und welche Versionen derzeit an welchen Online-Standorten aktiv sind.
Anscheinend ermöglichte eine Schwachstelle im CAS selbst den Angreifern, die Einstellungen der Kryptowährungsdienste des Opfers zu manipulieren, darunter:
- Hinzufügen eines neuen Benutzers mit Administratorrechten.
- Verwenden dieses neuen Administratorkontos vorhandene Geldautomaten umzukonfigurieren.
- Umleitung aller ungültigen Zahlungen zu einem eigenen Portemonnaie.
Aus unserer Sicht beschränkten sich die durchgeführten Angriffe also auf Überweisungen oder Abhebungen, bei denen der Kunde einen Fehler gemacht hat.
In solchen Fällen, so scheint es, sammelt der Geldautomatenbetreiber die fehlgeleiteten Gelder, damit sie später erstattet oder korrekt umgeleitet werden können …
… die Gelder direkt und unwiderruflich an die Angreifer gehen würden.
General Bytes hat nicht gesagt, wie es auf diesen Fehler aufmerksam wurde, obwohl wir uns vorstellen können, dass jeder Geldautomatenbetreiber, der mit einem Support-Anruf wegen einer fehlgeschlagenen Transaktion konfrontiert wird, schnell bemerken würde, dass seine Serviceeinstellungen manipuliert wurden, und Alarm schlagen würde.
Kompromissindikatoren
Die Angreifer, so schien es, hinterließen verschiedene verräterische Zeichen ihrer Aktivität, sodass General Bytes zahlreiche sogenannte Kompromissindikatoren (IoCs), um ihren Benutzern zu helfen, gehackte CAS-Konfigurationen zu identifizieren.
(Denken Sie natürlich daran, dass die Abwesenheit von IoCs nicht die Abwesenheit von Angreifern garantiert, aber bekannte IoCs sind ein praktischer Ausgangspunkt, wenn es um die Erkennung und Reaktion auf Bedrohungen geht.)
Glücklicherweise, vielleicht aufgrund der Tatsache, dass dieser Exploit auf ungültigen Zahlungen beruhte, anstatt es den Angreifern zu ermöglichen, Geldautomaten direkt zu entleeren, laufen die finanziellen Gesamtverluste bei diesem Vorfall nicht auf die Multi-Millionen-Dollar Beträge oft verbunden mit Kryptowährung Fehler.
General Bytes behauptete gestern [2022-08-22], dass die „Der Vorfall wurde der tschechischen Polizei gemeldet. Der Gesamtschaden, der Geldautomatenbetreibern auf der Grundlage ihres Feedbacks zugefügt wurde, beläuft sich auf 16,000 US-Dollar.“
Das Unternehmen deaktivierte auch automatisch alle Geldautomaten, die es im Auftrag seiner Kunden verwaltete, und forderte diese Kunden daher auf, sich anzumelden und ihre eigenen Einstellungen zu überprüfen, bevor sie ihre Geldautomaten reaktivieren.
Was ist zu tun?
General Bytes hat eine aufgeführt 11-Step-Prozess die seine Kunden befolgen müssen, um dieses Problem zu beheben, einschließlich:
- Patchen der CAS-Server.
- Überprüfung der Firewall-Einstellungen um den Zugriff auf möglichst wenige Netzwerkbenutzer zu beschränken.
- ATM-Terminals deaktivieren damit der Server zur Überprüfung wieder hochgefahren werden kann.
- Überprüfung aller Einstellungen, einschließlich aller gefälschten Terminals, die möglicherweise hinzugefügt wurden.
- Endgeräte reaktivieren erst nach Abschluss aller Schritte zur Bedrohungssuche.
Dieser Angriff ist übrigens eine starke Erinnerung daran, warum die Reaktion auf Bedrohungen zeitgemäß ist geht es nicht nur darum, Löcher zu patchen und Malware zu entfernen.
In diesem Fall haben die Kriminellen keine Malware implantiert: Der Angriff wurde einfach durch böswillige Konfigurationsänderungen orchestriert, wobei das zugrunde liegende Betriebssystem und die Serversoftware unberührt blieben.
Zu wenig Zeit oder Personal?
Erfahren Sie mehr darüber Sophos Managed Detection and Response:
Bedrohungssuche, -erkennung und -reaktion rund um die Uhr ▶
Ausgewähltes Bild von imaginären Bitcoins via Unsplash-Lizenz.
- Geldautomat
- Blockchain
- BTC
- Einfallsreichtum
- Krypto
- kryptowährung
- Cryptocurrency Brieftaschen
- Kryptoaustausch
- Internet-Sicherheit
- Cyber-Kriminelle
- Internet-Sicherheit
- Heimatschutzministerium
- digitale Brieftaschen
- Firewall
- Allgemeine Bytes
- Kaspersky
- Malware
- McAfee
- Nackte Sicherheit
- NexBLOC
- Phantom-Entzug
- Plato
- platon ai
- Datenintelligenz von Plato
- Plato-Spiel
- PlatoData
- Platogaming
- VPN
- Verwundbarkeit
- Website-Sicherheit
- Zephyrnet
![S3 Ep 126: Der Preis von Fast Fashion (und Feature Creep) [Audio + Text]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-300x156.png "S3 Ep 126: Der Preis von Fast Fashion (und Feature Creep) [Audio + Text]")
