Et tietäisi sitä käymällä yrityksen pääsivustolla, mutta General Bytes, tsekkiläinen yritys, joka myy Bitcoin-pankkiautomaatteja, on kehottaa käyttäjiään että korjaa kriittinen rahaa vievä virhe palvelinohjelmistossaan.
Yhtiö väittää myyvänsä maailmanlaajuisesti yli 13,000 5000 pankkiautomaattia, joiden vähittäismyyntihinta on XNUMX dollaria ja enemmän ominaisuuksista ja ulkonäöstä riippuen.
Kaikki maat eivät ole suhtautuneet ystävällisesti kryptovaluuttojen pankkiautomaatteihin – Ison-Britannian sääntelijä esimerkiksi varoitti maaliskuussa 2022 että yksikään maassa tuolloin toimivista pankkiautomaateista ei ollut virallisesti rekisteröity, ja sanoi, että niin olisi "ottaa yhteyttä käyttäjiin ja ohjeistaa, että koneet sammutetaan".
Kävimme tarkastamassa paikallista kryptopankkiautomaattiamme tuolloin ja huomasimme sen näyttävän "Terminaali offline" -viestin. (Laite on sittemmin poistettu kauppakeskuksesta, johon se asennettiin.)
Siitä huolimatta General Bytes sanoo palvelevansa asiakkaita yli 140 maassa, ja sen maailmanlaajuinen pankkiautomaattien sijaintikartta näyttää olevan läsnä kaikilla mantereilla Etelämannerta lukuun ottamatta.
Raportoitu turvallisuustapahtuma
General Bytes -tuotetietokannan mukaan "turvaloukkaus", jonka vakavuusaste on Korkein oli löydettiin viime viikolla.
Yhtiön omin sanoin:
Hyökkääjä pystyi luomaan järjestelmänvalvojan etänä CAS-hallintaliittymän kautta URL-kutsun avulla sivulla, jota käytetään oletusasennuksessa palvelimelle ja ensimmäisen järjestelmänvalvojan käyttäjän luomiseen.
Sikäli kuin voimme kertoa, CAS on lyhyt Kolikon ATM-palvelin, ja jokainen General Bytes kryptovaluuttaautomaattien operaattori tarvitsee yhden näistä.
Voit isännöidä CAS:ääsi missä tahansa, näyttää siltä, myös omalla laitteistollasi omassa palvelinhuoneessasi, mutta General Bytesilla on erityinen sopimus hosting-yrityksen Digital Oceanin kanssa edullisesta pilviratkaisusta. (Voit myös antaa General Bytesin käyttää palvelinta puolestasi pilvessä vastineeksi 0.5 %:n leikkauksesta kaikista käteismaksuista.)
Tapausraportin mukaan hyökkääjät suorittivat Digital Oceanin pilvipalveluiden porttiskannauksen etsiessään kuunteluverkkopalveluita (portit 7777 tai 443), jotka tunnistivat itsensä General Bytes CAS -palvelimiksi löytääkseen luettelon mahdollisista uhreista.
Huomaa, että tässä hyödynnetty haavoittuvuus ei rajoittunut Digital Oceaniin tai rajoittunut pilvipohjaisiin CAS-esiintymiin. Oletamme, että hyökkääjät vain päättivät, että Digital Ocean oli hyvä paikka etsiä. Muista, että erittäin nopealla internetyhteydellä (esim. 10 Gbit/s) ja vapaasti saatavilla olevilla ohjelmistoilla päättäväiset hyökkääjät voivat nyt skannata koko IPv4-internet-osoiteavaruuden tunneissa tai jopa minuuteissa. Näin toimivat julkiset haavoittuvuushakukoneet, kuten Shodan ja Censys, ja etsivät jatkuvasti Internetiä selvittääkseen, mitkä palvelimet ja mitkä versiot ovat tällä hetkellä aktiivisia missä online-sijainneissa.
Ilmeisesti itse CAS:n haavoittuvuus antoi hyökkääjille mahdollisuuden manipuloida uhrin kryptovaluuttapalveluiden asetuksia, mukaan lukien:
- Uuden käyttäjän lisääminen järjestelmänvalvojan oikeuksilla.
- Tämän uuden järjestelmänvalvojan tilin käyttäminen olemassa olevien pankkiautomaattien konfigurointiin.
- Siirretään kaikki virheelliset maksut omaan lompakkoonsa.
Tietojemme mukaan tämä tarkoittaa, että tehdyt hyökkäykset rajoittuivat siirtoihin tai nostoihin, joissa asiakas teki virheen.
Tällaisissa tapauksissa näyttää siltä, että sen sijaan, että pankkiautomaatin operaattori kerää väärin suunnatut varat, jotta ne voitaisiin myöhemmin palauttaa tai ohjata oikein uudelleen…
…varat menevät suoraan ja peruuttamattomasti hyökkääjille.
General Bytes ei kertonut, miten tämä virhe tuli sen tietoon, vaikka kuvittelemme, että jokainen pankkiautomaatin operaattori, joka joutuu saamassa tukipuhelun epäonnistuneesta tapahtumasta, huomaa nopeasti, että hänen palveluasetuksiaan on peukaloitu, ja herättäisi hälytyksen.
Kompromissin indikaattorit
Hyökkääjät näyttivät jättäneen taakseen erilaisia merkkejä toimistaan, joten kenraali Bytes pystyi tunnistamaan lukuisia ns. Kompromissin indikaattorit (IoC) auttaakseen käyttäjiään tunnistamaan hakkeroidut CAS-kokoonpanot.
(Muista tietysti, että IoC:iden puuttuminen ei takaa hyökkääjien puuttumista, mutta tunnetut IoC:t ovat kätevä paikka aloittaa uhkien havaitsemisessa ja reagoinnissa.)
Onneksi ehkä siksi, että tämä hyväksikäyttö perustui virheellisiin maksuihin sen sijaan, että hyökkääjät saisivat tyhjentää pankkiautomaatit suoraan, tämän tapauksen kokonaistaloudelliset tappiot eivät johdu monen miljoonan dollarin määrät liittyy usein with kryptovaluutan virheitä.
General Bytes väitti eilen [2022-08-22], että "Tapauksesta ilmoitettiin Tšekin poliisille. Pankkiautomaattien käyttäjille heidän palautteensa perusteella aiheutuneet vahingot ovat yhteensä 16,000 XNUMX dollaria.
Yritys poisti myös automaattisesti käytöstä kaikki pankkiautomaatit, joita se hallinnoi asiakkaidensa puolesta, ja vaati näiden asiakkaiden kirjautumaan sisään ja tarkistamaan omat asetukset ennen pankkiautomaattilaitteiden uudelleenaktivointia.
Mitä tehdä?
General Bytes on listannut an 11-vaiheinen prosessi joita sen asiakkaiden on noudatettava korjatakseen tämän ongelman, mukaan lukien:
- kauneuspilkku CAS-palvelin.
- Palomuuriasetusten tarkistaminen rajoittaa pääsy mahdollisimman harvoille verkon käyttäjille.
- Pankkiautomaattien deaktivointi jotta palvelin voidaan tuoda uudelleen tarkastettavaksi.
- Tarkistaa kaikki asetukset, mukaan lukien mahdollisesti lisätyt väärät liittimet.
- Päätteiden uudelleenaktivointi vasta sen jälkeen, kun kaikki uhkien metsästysvaiheet on suoritettu.
Tämä hyökkäys on muuten vahva muistutus siitä, miksi nykyaikainen uhkavastus ei ole vain reikien paikkaamista ja haittaohjelmien poistamista.
Tässä tapauksessa rikolliset eivät istuttaneet haittaohjelmia: hyökkäys toteutettiin yksinkertaisesti ilkeillä konfiguraatiomuutoksilla, ja taustalla oleva käyttöjärjestelmä ja palvelinohjelmisto jäivät koskematta.
Eikö aika tai henkilökunta riitä?
Lisätietoja Sophosin hallinnoima tunnistus ja vastaus:
24/7 uhkien metsästys, havaitseminen ja reagointi ▶
Suositeltu kuva kuvitteellisista Bitcoineista kautta Unsplash-lisenssi.
- pankkiautomaatti
- blockchain
- BTC
- coingenius
- Crypto
- kryptovaluutta
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Yleiset bytit
- Kaspersky
- haittaohjelmat
- McAfee
- Naked Security
- NexBLOC
- haamu vetäytyminen
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- alttius
- verkkosivuilla turvallisuus
- zephyrnet
![S3 Ep 126: Pikamuodin hinta (ja ominaisuus creep) [ääni + teksti]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-300x156.png "S3 Ep 126: Pikamuodin hinta (ja ominaisuus creep) [ääni + teksti]")
