Bitcoin ATM-asiakkaat hakkeroituivat lataamalla video, joka oli itse asiassa sovellus

Bitcoin ATM-asiakkaat hakkeroituivat lataamalla video, joka oli itse asiassa sovellus

Aikaleima: 20. maaliskuuta 2023 1
Bitcoin ATM-asiakkaat hakkeroivat videolatauksella, joka oli itse asiassa PlatoBlockchain Data Intelligence -sovellus. Pystysuuntainen haku. Ai.
by Paul Ducklin

Käyttöjärjestelmän historiassa on paljon sotilaallisia sanaleikkejä.

Unixilla on tunnetusti koko joukko henkilökuntaa, joka tunnetaan nimellä Päänumero, jotka järjestävät järjestelmässäsi laitteiden, kuten levyasemien, näppäimistöjen ja verkkokameroiden, pataljoonat.

Microsoft kamppaili kerran ilmeisen epäpätevien kanssa Yleinen epäonnistuminen, joka havaittiin säännöllisesti yrittävän lukea DOS-levyjäsi ja epäonnistuneen.

Linuxilla on ajoittain ongelmia Eversti Paniikki, jonka ulkomuoto seuraa tyypillisesti tietojen katoaminen, mahdollisesti vahingoittuneet tiedostojärjestelmät ja kiireellinen tarve sammuttaa virta ja käynnistää tietokone uudelleen.

Ja tšekkiläinen kryptovaluuttayhtiö ei näytä saavan sellaista luotettavuutta, jota voisi kohtuudella odottaa persoonallisuudelta nimeltä Yleiset bytit.

Oikeastaan, Yleiset bytit on itse yrityksen nimi, yritys, jolle ei valitettavasti ole vieras ei-toivotut tunkeutumiset ja luvaton pääsy kryptovaluuttarahastoihin.

Kerran on epäonni

Kirjoitimme elokuussa 2022, kuinka kenraali Bytesillä kävi langennut uhri palvelinpuolen bugiin, jossa etähyökkääjät voivat huijata asiakkaan ATM-palvelimen antamaan heille pääsyn "uusien järjestelmän määrittäminen" -määrityssivuille.

Jos olet joskus päivittänyt iPhonen tai Android-laitteen, tiedät, että alkuperäisen asennuksen suorittava henkilö päätyy laitteen hallintaan, etenkin koska hän saa määrittää ensisijaisen käyttäjän ja valita upouuden suojakoodin. tai tunnuslause prosessin aikana.

Tiedät kuitenkin myös, että nykyaikaiset matkapuhelimet pyyhkivät väkisin laitteen vanhan sisällön, mukaan lukien kaikki vanhan käyttäjän tiedot, ennen kuin ne asentavat ja määrittävät uudelleen käyttöjärjestelmän, sovellukset ja järjestelmäasetukset.

Toisin sanoen voit aloittaa alusta, mutta et voi jatkaa siitä, mihin edellinen käyttäjä jäi, muuten voit käyttää järjestelmän päivitystä (tai DFU:ta, lyhenne sanoista laitteen laiteohjelmiston päivitys, kuten Apple sitä kutsuu) päästäksesi edellisen omistajan tiedostoihin.

General Bytes ATM -palvelimessa luvaton pääsypolku, joka sai hyökkääjät "aloita tyhjästä" -asennusnäyttöihin, ei kuitenkaan neutraloinut tunkeutuneen laitteen tietoja ensin...

…joten roistot voisivat käyttää väärin palvelimen "luo uusi järjestelmänvalvojatili" -prosessia luodakseen ylimääräisen järjestelmänvalvojan käyttäjän olemassa oleva järjestelmä.

Kaksi kertaa näyttää huolimattomuudesta

Viime kerralla kenraali Bytes kärsi niin sanotusta haittaohjelmattomasta hyökkäyksestä, jossa rikolliset eivät istuttaneet mitään haitallista koodia.

Vuoden 2022 hyökkäys johdettiin yksinkertaisesti ilkeillä konfiguraatiomuutoksilla, ja taustalla oleva käyttöjärjestelmä ja palvelinohjelmisto jätettiin koskemattomiksi.

Tällä kertaa hyökkääjät käyttivät a perinteisempää lähestymistapaa joka perustui implanttiin: haittaohjelma tai haittaohjelmat Lyhyesti sanottuna se ladattiin tietoturva-aukon kautta ja sitä käytettiin sitten "vaihtoehtoisena ohjauspaneelina".

Selkeästi englanniksi: roistot löysivät bugin, jonka ansiosta he pystyivät asentamaan takaoven, jotta he pääsivät sen jälkeen sisään ilman lupaa.

Kuten kenraali Bytes sanoi:

Hyökkääjä pystyi lataamaan oman Java-sovelluksensa etäyhteyden kautta päätelaitteiden käyttämän pääpalvelurajapinnan kautta videoiden lataamiseen ja suorittamaan sitä batm-käyttöoikeuksilla.

Emme ole varmoja, miksi pankkiautomaatti tarvitsee kuvien ja videoiden etälatausvaihtoehdon, ikään kuin se olisi jonkinlainen yhteisön blogisivusto tai sosiaalisen median palvelu…

…mutta näyttää siltä, ​​että Coin ATM Server -järjestelmä sisältää juuri tällaisen ominaisuuden, oletettavasti siksi, että mainoksia ja muita erikoistarjouksia voidaan mainostaa suoraan pankkiautomaateilla käyville asiakkaille.

Lataukset, jotka eivät ole sitä miltä ne näyttävät

Valitettavasti jokaisen palvelimen, joka sallii lataukset, vaikka ne olisivat peräisin luotetusta (tai ainakin todennetusta lähteestä), on oltava varovaisia ​​useiden seikkojen suhteen:

  • Lataukset on kirjoitettava esitysalueelle, josta niitä ei voi heti lukea takaisin ulkopuolelta. Tämä auttaa varmistamaan, että epäluotettavat käyttäjät eivät voi muuttaa palvelintasi väliaikaiseksi jakelujärjestelmäksi luvattomalle tai sopimattomalle sisällölle sellaisen URL-osoitteen kautta, joka näyttää aidolta, koska siinä on brändisi imprimatur.
  • Lataukset on tarkistettava sen varmistamiseksi, että ne vastaavat sallittuja tiedostotyyppejä. Tämä auttaa estämään rikollisia käyttäjiä tunkeutumasta lähetysalueellesi täyttämällä sen komentosarjoilla tai ohjelmilla, jotka saattavat myöhemmin päätyä palvelimelle sen sijaan, että niitä vain toimitettaisiin seuraavalle vierailijalle.
  • Lataukset on tallennettava mahdollisimman rajoittavin käyttöoikeuksin, niin, että loukkuun jääneitä tai korruptoituneita tiedostoja ei voida vahingossa suorittaa tai edes käyttää järjestelmän turvallisemmista osista.

Näyttää siltä, ​​​​että General Bytes ei ryhtynyt näihin varotoimiin, minkä seurauksena hyökkääjät pystyivät suorittamaan laajan valikoiman yksityisyyttä rikkovia ja kryptovaluuttojen kopiointitoimia.

Haitallinen toiminta ilmeisesti sisälsi: todennuskoodien lukemisen ja salauksen purkamisen, joita käytettiin lompakoiden ja pörssien varoihin pääsyyn; varojen lähettäminen hot lompakoista; käyttäjätunnusten ja salasanahajautusten lataaminen; asiakkaan salausavainten haku; 2FA:n sammuttaminen; ja pääsy tapahtumalokeihin.

Mitä tehdä?

  • Jos käytät General Bytes Coin -pankkiautomaatteja, lue yhtiön rikkomusraportti, joka kertoo kuinka etsiä ns. IoC:itä (kompromissin indikaattorit), ja mitä tehdä, kun odotat korjaustiedostojen julkaisua.

Huomaa, että yritys on vahvistanut, että vaikutus vaikutti sekä itsenäisiin Coin ATM -palvelimiin että sen omiin pilvipohjaisiin järjestelmiin (joissa maksat General Bytesille 0.5 %:n maksun kaikista tapahtumista vastineeksi siitä, että ne käyttävät palvelimiasi puolestasi).

Kiinnostavaa kyllä, kenraali Bytes raportoi, että se tulee olemaan "sulkee pilvipalvelunsa", ja vaativat sitä "sinun on asennettava oma erillinen palvelin". (Raportti ei anna määräaikaa, mutta yritys tarjoaa jo aktiivisesti migraatiotukea.)

Käänteessä, joka vie yrityksen päinvastaiseen suuntaan kuin useimmat muut nykyajan palvelukeskeiset yritykset, General Bytes vaatii, että "On teoriassa (ja käytännössä) mahdotonta turvata järjestelmää, joka antaa pääsyn useille operaattoreille samanaikaisesti, jos jotkut heistä ovat huonoja toimijoita."

  • Jos olet äskettäin käyttänyt General Bytes -pankkiautomaattia, ota yhteyttä kryptovaluuttapörssiin tai -pörsseihin saadaksesi neuvoja siitä, mitä tehdä ja onko jokin varoistasi vaarassa.
  • Jos olet verkkopalvelusta huolehtiva ohjelmoija, olipa kyseessä itseisännöity tai pilvipalvelu, lue ja noudata yllä olevia latauksia ja lataushakemistoja koskevia neuvojamme.
  • Jos olet kryptovaluuttojen ystävä, säilytä mahdollisimman vähän kryptocoineistasi ns kuumia lompakoita.

Kuumat lompakot ovat pohjimmiltaan varoja, jotka ovat valmiita käymään kauppaa hetkessä (ehkä automaattisesti), ja tyypillisesti vaativat joko, että uskot omat salausavaimesi jollekin toiselle tai siirrät väliaikaisesti varoja yhteen tai useampaan hänen lompakkoonsa.

Aikaleima:

Lisää aiheesta Naked Security