Οι πελάτες του Bitcoin ATM παραβιάστηκαν με μεταφόρτωση βίντεο που ήταν στην πραγματικότητα μια εφαρμογή

Υπάρχουν πολλά στρατιωτικά λογοπαίγνια στην ιστορία του λειτουργικού συστήματος.

Η Unix έχει περίφημα μια ολόκληρη σειρά προσωπικού που είναι γνωστή ως Κύριος αριθμός, που οργανώνουν τα τάγματα συσκευών όπως μονάδες δίσκου, πληκτρολόγια και κάμερες στο σύστημά σας.

Η Microsoft πάλεψε κάποτε με τους φαινομενικά ανίκανους Γενική αποτυχία, ο οποίος παρατηρήθηκε τακτικά να προσπαθεί να διαβάσει τους δίσκους DOS σας και να αποτύχει.

Το Linux έχει κατά διαστήματα πρόβλημα Συνταγματάρχης Πανικός, Τίνος εμφάνιση συνήθως ακολουθείται από χαμένα δεδομένα, δυνητικά κατεστραμμένα συστήματα αρχείων και επείγουσα ανάγκη να απενεργοποιήσετε την τροφοδοσία και να επανεκκινήσετε τον υπολογιστή σας.

Και μια τσέχικη εταιρεία κρυπτονομισμάτων δεν φαίνεται να έχει την αξιοπιστία που θα περίμενε κανείς από μια προσωπικότητα που ονομάζεται Γενικά Bytes.

Στην πραγματικότητα, Γενικά Bytes είναι το όνομα της ίδιας της εταιρείας, μιας επιχείρησης που δυστυχώς δεν είναι ξένη στις ανεπιθύμητες εισβολές και τη μη εξουσιοδοτημένη πρόσβαση σε κεφάλαια κρυπτονομισμάτων.

Μια φορά είναι ατυχία

Τον Αύγουστο του 2022, γράψαμε πώς είχε ο General Bytes πέσει θύμα σε ένα σφάλμα από την πλευρά του διακομιστή, στο οποίο οι απομακρυσμένοι εισβολείς θα μπορούσαν να εξαπατήσουν τον διακομιστή ATM ενός πελάτη για να του δώσουν πρόσβαση στις σελίδες διαμόρφωσης "ρυθμίστε ένα ολοκαίνουργιο σύστημα".

Εάν έχετε ανανεώσει ποτέ ένα iPhone ή μια συσκευή Android, θα ξέρετε ότι το άτομο που εκτελεί την αρχική ρύθμιση καταλήγει να έχει τον έλεγχο της συσκευής, κυρίως επειδή μπορεί να διαμορφώσει τον κύριο χρήστη και να επιλέξει έναν ολοκαίνουργιο κωδικό κλειδώματος ή φράση πρόσβασης κατά τη διάρκεια της διαδικασίας.

Ωστόσο, θα γνωρίζετε επίσης ότι τα σύγχρονα κινητά τηλέφωνα σκουπίζουν δια της βίας τα παλιά περιεχόμενα της συσκευής, συμπεριλαμβανομένων όλων των δεδομένων του παλιού χρήστη, προτού εγκαταστήσουν ξανά και διαμορφώσουν ξανά το λειτουργικό σύστημα, τις εφαρμογές και τις ρυθμίσεις συστήματος.

Με άλλα λόγια, μπορείτε να ξεκινήσετε ξανά, αλλά δεν μπορείτε να αναλάβετε τη διαχείριση από εκεί που σταμάτησε ο τελευταίος χρήστης, διαφορετικά θα μπορούσατε να χρησιμοποιήσετε μια ανανέωση συστήματος (ή ένα DFU, συντομογραφία για αναβάθμιση υλικολογισμικού της συσκευής, όπως το αποκαλεί η Apple) για να μεταβείτε στα αρχεία του προηγούμενου κατόχου.

Στον διακομιστή ATM General Bytes, ωστόσο, η μη εξουσιοδοτημένη διαδρομή πρόσβασης που οδήγησε τους εισβολείς στις οθόνες εγκατάστασης «ξεκινήστε από το μηδέν» δεν εξουδετέρωσε πρώτα δεδομένα στη διεισδυμένη συσκευή…

…έτσι οι απατεώνες θα μπορούσαν να κάνουν κατάχρηση της διαδικασίας "δημιουργία νέου λογαριασμού διαχείρισης" του διακομιστή για να δημιουργήσουν έναν επιπλέον χρήστη διαχειριστή σε ένα υπάρχον σύστημα.

Δύο φορές μοιάζει με ανεμελιά

Την τελευταία φορά, ο General Bytes υπέστη μια επίθεση χωρίς κακόβουλο λογισμικό, όπου οι εγκληματίες δεν εμφύτευσαν κακόβουλο κώδικα.

Η επίθεση του 2022 ενορχηστρώθηκε απλώς μέσω κακόβουλων αλλαγών στη διαμόρφωση, με το υποκείμενο λειτουργικό σύστημα και το λογισμικό διακομιστή να παραμένουν ανέγγιχτα.

Αυτή τη φορά, οι επιτιθέμενοι χρησιμοποίησαν ένα πιο συμβατική προσέγγιση που βασιζόταν σε ένα εμφύτευμα: κακόβουλο λογισμικό ή malware εν ολίγοις, αυτό μεταφορτώθηκε μέσω ενός κενού ασφαλείας και στη συνέχεια χρησιμοποιήθηκε ως αυτό που θα μπορούσατε να ονομάσετε "εναλλακτικός πίνακας ελέγχου".

Σε απλά αγγλικά: οι απατεώνες βρήκαν ένα σφάλμα που τους επέτρεπε να εγκαταστήσουν μια κερκόπορτα για να μπορούν να μπουν στη συνέχεια χωρίς άδεια.

Όπως το έθεσε ο General Bytes:

Ο εισβολέας μπόρεσε να ανεβάσει τη δική του εφαρμογή Java από απόσταση μέσω της κύριας διεπαφής υπηρεσίας που χρησιμοποιούν τα τερματικά για τη μεταφόρτωση βίντεο και την εκτέλεση της χρησιμοποιώντας δικαιώματα χρήστη batm.

Δεν είμαστε σίγουροι γιατί ένα ΑΤΜ χρειάζεται μια απομακρυσμένη επιλογή μεταφόρτωσης εικόνων και βίντεο, σαν να ήταν κάποιο είδος ιστοτόπου ιστολογίου κοινότητας ή υπηρεσίας μέσων κοινωνικής δικτύωσης…

…αλλά φαίνεται ότι το σύστημα Coin ATM Server περιλαμβάνει ακριβώς μια τέτοια δυνατότητα, πιθανώς έτσι ώστε οι διαφημίσεις και άλλες ειδικές προσφορές να μπορούν να προωθούνται απευθείας στους πελάτες που επισκέπτονται τα ΑΤΜ.

Μεταφορτώσεις που δεν είναι αυτό που φαίνονται

Δυστυχώς, οποιοσδήποτε διακομιστής επιτρέπει μεταφορτώσεις, ακόμα κι αν προέρχονται από αξιόπιστη (ή τουλάχιστον πιστοποιημένη πηγή) πρέπει να προσέχει πολλά πράγματα:

• Οι μεταφορτώσεις πρέπει να εγγραφούν σε μια περιοχή σταδίου όπου δεν μπορούν να διαβαστούν αμέσως από έξω. Αυτό βοηθά να διασφαλιστεί ότι οι αναξιόπιστοι χρήστες δεν μπορούν να μετατρέψουν τον διακομιστή σας σε ένα προσωρινό σύστημα παράδοσης για μη εξουσιοδοτημένο ή ακατάλληλο περιεχόμενο μέσω μιας διεύθυνσης URL που φαίνεται νόμιμη επειδή έχει την αυθεντική ταυτότητα της επωνυμίας σας.
• Οι μεταφορτώσεις πρέπει να ελέγχονται για να διασφαλιστεί ότι αντιστοιχούν στους επιτρεπόμενους τύπους αρχείων. Αυτό βοηθάει στο να σταματήσουν οι απατεώνες να παγιδεύουν την περιοχή μεταφόρτωσης, γεμίζοντας την με σενάρια ή προγράμματα που μπορεί αργότερα να εκτελεστούν στον διακομιστή αντί να προβληθούν απλώς σε έναν επόμενο επισκέπτη.
• Οι μεταφορτώσεις πρέπει να αποθηκεύονται με τα πιο περιοριστικά δυνατά δικαιώματα πρόσβασης, έτσι ώστε τα αρχεία που έχουν παγιδευτεί ή είναι κατεστραμμένα να μην μπορούν να εκτελεστούν ακούσια ή ακόμη και να έχουν πρόσβαση από πιο ασφαλή μέρη του συστήματος.

Ο General Bytes, φαίνεται, δεν έλαβε αυτές τις προφυλάξεις, με αποτέλεσμα οι επιτιθέμενοι να μπορέσουν να εκτελέσουν ένα ευρύ φάσμα ενεργειών κατάρρευσης της ιδιωτικής ζωής και κατάσχεσης κρυπτονομισμάτων.

Η κακόβουλη δραστηριότητα προφανώς περιελάμβανε: ανάγνωση και αποκρυπτογράφηση κωδικών ελέγχου ταυτότητας που χρησιμοποιούνται για την πρόσβαση σε κεφάλαια σε ζεστά πορτοφόλια και ανταλλακτήρια. αποστολή κεφαλαίων από ζεστά πορτοφόλια. λήψη ονομάτων χρήστη και κατακερματισμού κωδικών πρόσβασης. ανάκτηση των κρυπτογραφικών κλειδιών του πελάτη. Απενεργοποίηση 2FA. και πρόσβαση στα αρχεία καταγραφής συμβάντων.

Τι να κάνω;

• Εάν εκτελείτε συστήματα ATM General Bytes Coin, διαβάστε τα της εταιρείας αναφορά παραβίασης, το οποίο σας λέει πώς να αναζητήσετε τα λεγόμενα IoC (δείκτες συμβιβασμού), και τι πρέπει να κάνετε όσο περιμένετε να δημοσιευτούν οι ενημερώσεις κώδικα.

Λάβετε υπόψη ότι η εταιρεία έχει επιβεβαιώσει ότι επηρεάστηκαν τόσο οι αυτόνομοι διακομιστές Coin ATM όσο και τα δικά της συστήματα που βασίζονται σε σύννεφο (όπου πληρώνετε στα General Bytes εισφορά 0.5% σε όλες τις συναλλαγές σε αντάλλαγμα για τη λειτουργία των διακομιστών σας για εσάς).

Περιέργως, ο General Bytes αναφέρει ότι θα είναι «Κλείσιμο της υπηρεσίας cloud», και επιμένοντας σε αυτό "Θα χρειαστεί να εγκαταστήσετε τον δικό σας αυτόνομο διακομιστή". (Η αναφορά δεν δίνει προθεσμία, αλλά η εταιρεία προσφέρει ήδη ενεργά υποστήριξη μετανάστευσης.)

Σε μια στροφή που θα οδηγήσει την εταιρεία στην αντίθετη κατεύθυνση από τις περισσότερες σύγχρονες εταιρείες που προσανατολίζονται στις υπηρεσίες, η General Bytes επιμένει ότι «Είναι θεωρητικά (και πρακτικά) αδύνατο να εξασφαλιστεί ένα σύστημα που παρέχει πρόσβαση σε πολλαπλούς χειριστές ταυτόχρονα, όπου ορισμένοι από αυτούς είναι κακοί παράγοντες».

• Εάν έχετε χρησιμοποιήσει πρόσφατα ένα ATM General Bytes, επικοινωνήστε με το ανταλλακτήριο κρυπτονομισμάτων ή τα ανταλλακτήρια για συμβουλές σχετικά με το τι πρέπει να κάνετε και εάν κάποιο από τα κεφάλαιά σας κινδυνεύει.

• Εάν είστε προγραμματιστής που φροντίζει μια διαδικτυακή υπηρεσία, είτε είναι αυτο-φιλοξενούμενο είτε φιλοξενείται στο cloud, διαβάστε και ακούστε τις παραπάνω συμβουλές μας σχετικά με τις μεταφορτώσεις και τους καταλόγους μεταφόρτωσης.

• Εάν είστε λάτρης των κρυπτονομισμάτων, κρατήστε όσο λιγότερα από τα κρυπτονομίσματα σας όσο μπορείτε στα λεγόμενα ζεστά πορτοφόλια.

Τα καυτά πορτοφόλια είναι ουσιαστικά κεφάλαια που είναι έτοιμα για διαπραγμάτευση σε μια στιγμή (ίσως αυτόματα) και συνήθως απαιτούν είτε να εμπιστευτείτε τα δικά σας κρυπτογραφικά κλειδιά σε κάποιον άλλο είτε να μεταφέρετε προσωρινά χρήματα σε ένα ή περισσότερα από τα πορτοφόλια τους.

---

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• πηγή: https://nakedsecurity.sophos.com/2023/03/20/bitcoin-atm-customers-hacked-by-video-upload-that-was-actually-an-app/