Vous ne le sauriez pas en visitant le site Web principal de l’entreprise, mais General Bytes, une société tchèque qui vend des guichets automatiques Bitcoin, est exhortant ses utilisateurs à corriger un bug critique qui draine de l'argent dans son logiciel serveur.
La société revendique des ventes mondiales de plus de 13,000 5000 guichets automatiques, vendus au prix de XNUMX XNUMX $ et plus, selon les caractéristiques et l'apparence.
Tous les pays n’ont pas été favorables aux guichets automatiques de crypto-monnaie – le régulateur britannique, par exemple, prévenu en mars 2022 qu'aucun des distributeurs automatiques en activité dans le pays à l'époque n'était officiellement enregistré et a déclaré qu'ils seraient "contacter les opérateurs pour demander l'arrêt des machines".
Nous sommes allés vérifier notre guichet automatique crypto local à ce moment-là et nous l'avons trouvé affichant un message « Terminal hors ligne ». (L'appareil a depuis été retiré du centre commercial où il était installé.)
Néanmoins, General Bytes affirme servir des clients dans plus de 140 pays et sa carte mondiale des emplacements de guichets automatiques montre une présence sur tous les continents, à l'exception de l'Antarctique.
Incident de sécurité signalé
Selon la base de connaissances du produit General Bytes, un « incident de sécurité » d'un niveau de gravité de Le plus élevé était découvert la semaine dernière.
Selon les propres mots de l'entreprise :
L'attaquant a pu créer un utilisateur administrateur à distance via l'interface d'administration CAS via un appel d'URL sur la page utilisée pour l'installation par défaut sur le serveur et créer le premier utilisateur d'administration.
Pour autant que nous puissions en juger, CAS est l'abréviation de Serveur ATM de pièces de monnaie, et chaque opérateur de guichets automatiques de crypto-monnaie General Bytes en a besoin.
Il semble que vous pouvez héberger votre CAS n'importe où, y compris sur votre propre matériel dans votre propre salle de serveurs, mais General Bytes a conclu un accord spécial avec la société d'hébergement Digital Ocean pour une solution cloud à faible coût. (Vous pouvez également laisser General Bytes gérer le serveur pour vous dans le cloud en échange d'une réduction de 0.5 % sur toutes les transactions en espèces.)
Selon le rapport d'incident, les attaquants ont effectué une analyse des ports des services cloud de Digital Ocean, à la recherche de services Web d'écoute (ports 7777 ou 443) qui se sont identifiés comme serveurs General Bytes CAS, afin de trouver une liste de victimes potentielles.
Notez que la vulnérabilité exploitée ici n’était pas due à Digital Ocean ni limitée aux instances CAS basées sur le cloud. Nous pensons que les attaquants ont simplement décidé que Digital Ocean était un bon point de départ pour commencer leurs recherches. N'oubliez pas qu'avec une connexion Internet à très haut débit (par exemple 10 Gbit/s) et à l'aide de logiciels disponibles gratuitement, des attaquants déterminés peuvent désormais analyser l'intégralité de l'espace d'adressage Internet IPv4 en quelques heures, voire quelques minutes. C’est ainsi que fonctionnent les moteurs de recherche publics de vulnérabilités tels que Shodan et Censys, parcourant continuellement Internet pour découvrir quels serveurs et quelles versions sont actuellement actifs sur quels sites en ligne.
Apparemment, une vulnérabilité dans le CAS lui-même a permis aux attaquants de manipuler les paramètres des services de cryptomonnaie de la victime, notamment :
- Ajouter un nouvel utilisateur avec privilèges administratifs.
- Utiliser ce nouveau compte administrateur pour reconfigurer les guichets automatiques existants.
- Détourner tous les paiements invalides à leur propre portefeuille.
À notre connaissance, cela signifie que les attaques menées se sont limitées aux transferts ou aux retraits pour lesquels le client s'est trompé.
Dans de tels cas, semble-t-il, ce n’est pas l’opérateur du guichet automatique qui collecte les fonds mal acheminés afin qu’ils puissent ensuite être remboursés ou correctement redirigés…
…les fonds iraient directement et de manière irréversible aux attaquants.
General Bytes n’a pas expliqué comment cette faille a été portée à son attention, même si nous imaginons que tout opérateur de guichet automatique confronté à un appel d’assistance concernant un échec de transaction remarquerait rapidement que ses paramètres de service ont été falsifiés et sonnerait l’alarme.
Indicateurs de compromis
Il semble que les attaquants aient laissé derrière eux divers signes révélateurs de leur activité, de sorte que General Bytes a pu identifier de nombreux soi-disant Indicateurs de compromis (IoC) pour aider leurs utilisateurs à identifier les configurations CAS piratées.
(N'oubliez pas, bien sûr, que l'absence d'IoC ne garantit pas l'absence de tout attaquant, mais les IoC connus sont un point de départ pratique lorsqu'il s'agit de détecter et de répondre aux menaces.)
Heureusement, peut-être parce que cet exploit reposait sur des paiements invalides, plutôt que de permettre aux attaquants de vider directement les distributeurs automatiques, les pertes financières globales résultant de cet incident ne se répercutent pas sur les coûts. plusieurs millions de dollars quantités souvent associé comprenant erreurs de crypto-monnaie.
General Bytes a affirmé hier [2022-08-22] que le « [l]’incident a été signalé à la police tchèque. Le total des dommages causés aux opérateurs de guichets automatiques, sur la base de leurs commentaires, s'élève à 16,000 XNUMX dollars américains.
La société a également désactivé automatiquement tous les guichets automatiques qu'elle gérait au nom de ses clients, obligeant ainsi ces clients à se connecter et à vérifier leurs propres paramètres avant de réactiver leurs guichets automatiques.
Que faire?
General Bytes a répertorié un 11-étape processus que ses clients doivent suivre afin de résoudre ce problème, notamment :
- patcher le serveur CAS.
- Vérification des paramètres du pare-feu pour restreindre l'accès au moins d'utilisateurs du réseau possible.
- Désactivation des terminaux ATM afin que le serveur puisse être réactivé pour examen.
- Vérification de tous les paramètres, y compris tous les faux terminaux qui auraient pu être ajoutés.
- Réactivation des terminaux seulement après avoir terminé toutes les étapes de chasse aux menaces.
Cette attaque, soit dit en passant, nous rappelle clairement pourquoi la réponse contemporaine aux menaces il ne s’agit pas simplement de corriger des failles et de supprimer des logiciels malveillants.
Dans ce cas, les criminels n’ont implanté aucun malware : l’attaque a été orchestrée simplement par des changements de configuration malveillants, sans toucher au système d’exploitation et au logiciel serveur sous-jacents.
Pas assez de temps ou de personnel ?
En savoir plus sur Détection et réponse gérées par Sophos:
Recherche, détection et réponse aux menaces 24h/7 et XNUMXj/XNUMX ▶
Image en vedette de Bitcoins imaginés via Licence Unsplash.
- ATM
- blockchain
- BTC
- cognitif
- Crypto
- crypto-monnaie
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Octets généraux
- Kaspersky
- malware
- Mcafee
- Sécurité nue
- NexBLOC
- retrait fantôme
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- vulnérabilité
- la sécurité d'un site web
- zéphyrnet
![S3 Ep 126 : Le prix de la fast fashion (et du fluage des fonctionnalités) [Audio + Texte]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-300x156.png "S3 Ep 126 : Le prix de la fast fashion (et du fluage des fonctionnalités) [Audio + Texte]")
