دستگاه‌های خودپرداز بیت‌کوین توسط مهاجمانی که حساب‌های مدیریت جعلی ایجاد کرده‌اند، زالو شده‌اند

با بازدید از وب سایت اصلی شرکت متوجه نمی شوید، اما جنرال بایت، یک شرکت چک که دستگاه های خودپرداز بیت کوین را می فروشد، کاربران خود را ترغیب می کند به وصله یک باگ بحرانی که پول را تخلیه می کند در نرم افزار سرور خود

این شرکت ادعا می کند که بیش از 13,000 دستگاه خودپرداز در سراسر جهان به فروش می رسد که بسته به ویژگی ها و ظاهر آنها با قیمت 5000 دلار و بالاتر به فروش می رسد.

همه کشورها نسبت به خودپردازهای ارزهای دیجیتال با مهربانی رفتار نکرده اند - برای مثال، تنظیم کننده بریتانیا، در مارس 2022 هشدار داده شد که هیچ یک از دستگاه های خودپرداز فعال در آن زمان در کشور به طور رسمی ثبت نشده است و گفت که خواهد شد "تماس با اپراتورها که دستور می دهند ماشین ها خاموش شوند".

ما در آن زمان رفتیم تا دستگاه خودپرداز رمزنگاری محلی خود را بررسی کنیم و متوجه شدیم که پیام «ترمینال آفلاین» را نمایش می‌دهد. (دستگاه از آن زمان از مرکز خریدی که در آن نصب شده بود حذف شده است.)

با این وجود، جنرال بایت می گوید که در بیش از 140 کشور به مشتریان خدمات ارائه می دهد و نقشه جهانی مکان های خودپرداز نشان می دهد که در همه قاره ها به جز قطب جنوب حضور دارد.

حادثه امنیتی گزارش شد

با توجه به پایگاه دانش محصول جنرال بایت، یک "حادثه امنیتی" در سطح شدت بالاترین بود هفته گذشته کشف شد.

به قول خود شرکت:

مهاجم قادر به ایجاد یک کاربر ادمین از راه دور از طریق رابط مدیریتی CAS از طریق تماس URL در صفحه ای بود که برای نصب پیش فرض روی سرور و ایجاد اولین کاربر مدیریت استفاده می شود.

تا آنجا که می توانیم بگوییم ، CAS کوتاه است سرور خودپرداز سکهو هر اپراتور دستگاه های خودپرداز ارزهای دیجیتال جنرال بایت به یکی از این موارد نیاز دارد.

به نظر می رسد می توانید CAS خود را در هر جایی که دوست دارید میزبانی کنید، از جمله روی سخت افزار خود در اتاق سرور خود، اما جنرال بایت قرارداد ویژه ای با شرکت میزبان Digital Ocean برای راه حل ابری کم هزینه دارد. (شما همچنین می توانید به General Bytes اجازه دهید سرور را برای شما در فضای ابری اجرا کند در ازای کاهش 0.5٪ از کل تراکنش های نقدی.)

بر اساس گزارش حادثه، مهاجمان برای یافتن لیستی از قربانیان احتمالی، یک پورت اسکن از خدمات ابری Digital Ocean را انجام دادند و به دنبال خدمات وب شنود (درگاه‌های 7777 یا 443) بودند که خود را به عنوان سرورهای General Bytes CAS شناسایی می‌کردند.

توجه داشته باشید که آسیب‌پذیری مورد استفاده در اینجا به Digital Ocean یا محدود به نمونه‌های CAS مبتنی بر ابر نیست. ما حدس می زنیم که مهاجمان به سادگی به این نتیجه رسیدند که Digital Ocean مکان خوبی برای شروع جستجو است. به یاد داشته باشید که با اتصال به اینترنت بسیار پرسرعت (مثلاً 10 گیگابیت بر ثانیه) و با استفاده از نرم‌افزار رایگان در دسترس، مهاجمان مصمم اکنون می‌توانند کل فضای آدرس اینترنتی IPv4 را در چند ساعت یا حتی چند دقیقه اسکن کنند. اینگونه است که موتورهای جستجوی آسیب‌پذیری عمومی مانند Shodan و Censys کار می‌کنند و دائماً اینترنت را جستجو می‌کنند تا بفهمند کدام سرورها و چه نسخه‌هایی در حال حاضر در کدام مکان‌های آنلاین فعال هستند.

ظاهراً یک آسیب‌پذیری در خود CAS به مهاجمان این امکان را می‌دهد تا تنظیمات سرویس‌های ارز دیجیتال قربانی را دستکاری کنند، از جمله:

• افزودن کاربر جدید با امتیازات اداری
• با استفاده از این حساب کاربری جدید برای پیکربندی مجدد دستگاه های خودپرداز موجود
• منحرف کردن تمام پرداخت های نامعتبر به کیف پول خودشان.

تا جایی که می بینیم، این بدان معناست که حملات انجام شده محدود به نقل و انتقالات یا برداشت هایی است که مشتری مرتکب اشتباه شده است.

در چنین مواردی به نظر می رسد به جای اینکه اپراتور خودپرداز وجوه اشتباه هدایت شده را جمع آوری کند تا متعاقباً بازپرداخت یا به درستی هدایت شود…

... وجوه مستقیم و غیرقابل برگشت به دست مهاجمان می رفت.

جنرال بایت نگفت که چگونه این نقص مورد توجه قرار گرفت، اگرچه تصور می کنیم که هر اپراتور ATM که با تماس پشتیبانی در مورد یک تراکنش ناموفق مواجه می شود، به سرعت متوجه می شود که تنظیمات سرویس آنها دستکاری شده است و زنگ هشدار را به صدا در می آورد.

شاخص های سازش

به نظر می رسید که مهاجمان نشانه های مختلفی از فعالیت خود را از خود به جای گذاشته اند، به طوری که ژنرال بایت توانست به اصطلاح بسیاری را شناسایی کند. شاخص های سازش (IoC) برای کمک به کاربران خود در شناسایی پیکربندی های CAS هک شده.

(البته به یاد داشته باشید که عدم وجود IoC ها غیبت هیچ مهاجمی را تضمین نمی کند، اما IoC های شناخته شده مکانی مفید برای شروع در مورد شناسایی و پاسخ به تهدید هستند.)

خوشبختانه، شاید به دلیل این واقعیت است که این سوء استفاده به جای اینکه به مهاجمان اجازه دهد مستقیماً دستگاه های خودپرداز را تخلیه کنند، به پرداخت های نامعتبر متکی بود، زیان های مالی کلی در این حادثه وارد نمی شود. چند میلیون دلاری مقدار اغلب مرتبط است با اشتباهات ارزهای دیجیتال.

ژنرال بایت دیروز [2022-08-22] ادعا کرد که «این حادثه به پلیس چک گزارش شد. کل خسارت وارد شده به اپراتورهای خودپرداز بر اساس بازخورد آنها 16,000 دلار آمریکا است.

این شرکت همچنین به طور خودکار هر دستگاه خودپردازی را که از طرف مشتریان خود مدیریت می کرد غیرفعال کرد، بنابراین از آن مشتریان می خواهد قبل از فعال کردن مجدد دستگاه های خودپرداز خود وارد سیستم شده و تنظیمات خود را بررسی کنند.

چه کاری انجام دهید؟

جنرال بایت یک فهرست را فهرست کرده است فرایند 11 مرحله که مشتریانش برای رفع این مشکل باید رعایت کنند، از جمله:

• پچ کردن سرور CAS
• بررسی تنظیمات فایروال محدود کردن دسترسی به کمترین تعداد کاربران شبکه
• غیرفعال کردن پایانه های خودپرداز تا سرور دوباره برای بررسی بالا بیاید.
• بررسی تمام تنظیمات، از جمله هر پایانه جعلی که ممکن است اضافه شده باشد.
• فعال سازی مجدد پایانه ها تنها پس از تکمیل تمام مراحل شکار تهدید.

این حمله، به هر حال، یادآوری قوی برای پاسخ به تهدید معاصر است صرفاً مربوط به اصلاح حفره ها و حذف بدافزار نیست.

در این مورد، مجرمان هیچ بدافزاری را نصب نکردند: این حمله به سادگی از طریق تغییرات پیکربندی بدخواهانه سازماندهی شد و سیستم عامل و نرم افزار سرور اصلی دست نخورده باقی ماندند.

وقت یا پرسنل کافی نیست؟
اطلاعات بیشتر در مورد شناسایی و پاسخ مدیریت شده Sophos:
شکار، شناسایی و پاسخگویی تهدیدات 24/7  ▶

---

تصویر برجسته از بیت کوین های تصوری از طریق مجوز Unsplash.