नकली व्यवस्थापक खाते बनाने वाले हमलावरों द्वारा ली गई बिटकॉइन एटीएम

आप कंपनी की मुख्य वेबसाइट पर जाकर यह नहीं जान पाएंगे, लेकिन जनरल बाइट्स, एक चेक कंपनी जो बिटकॉइन एटीएम बेचती है, वह है अपने उपयोगकर्ताओं से आग्रह करता हूं सेवा मेरे एक महत्वपूर्ण धन निकासी बग को पैच करें इसके सर्वर सॉफ्टवेयर में।

कंपनी 13,000 से अधिक एटीएम की दुनिया भर में बिक्री का दावा करती है, जो कि सुविधाओं और लुक के आधार पर $ 5000 और उससे अधिक के लिए खुदरा है।

सभी देशों ने क्रिप्टोक्यूरेंसी एटीएम के लिए कृपया नहीं लिया है - उदाहरण के लिए, यूके नियामक, मार्च 2022 में चेतावनी दी कि उस समय देश में संचालित कोई भी एटीएम आधिकारिक रूप से पंजीकृत नहीं था, और कहा कि यह होगा "मशीनों को बंद करने का निर्देश देने वाले ऑपरेटरों से संपर्क करना".

हम उस समय अपने स्थानीय क्रिप्टो एटीएम की जाँच करने गए, और पाया कि यह "टर्मिनल ऑफ़लाइन" संदेश प्रदर्शित कर रहा है। (डिवाइस को तब से उस शॉपिंग सेंटर से हटा दिया गया है जहां इसे स्थापित किया गया था।)

फिर भी, जनरल बाइट्स का कहना है कि यह 140 से अधिक देशों में ग्राहकों की सेवा करता है, और एटीएम स्थानों का वैश्विक मानचित्र अंटार्कटिका को छोड़कर हर महाद्वीप पर उपस्थिति दिखाता है।

सुरक्षा घटना की सूचना दी

जनरल बाइट्स उत्पाद नॉलेजबेस के अनुसार, गंभीरता के स्तर पर एक "सुरक्षा घटना" उच्चतम था पिछले हफ्ते खोजा गया.

कंपनी के अपने शब्दों में:

हमलावर पृष्ठ पर एक यूआरएल कॉल के माध्यम से सीएएस प्रशासनिक इंटरफेस के माध्यम से दूरस्थ रूप से एक व्यवस्थापक उपयोगकर्ता बनाने में सक्षम था जो सर्वर पर डिफ़ॉल्ट स्थापना के लिए उपयोग किया जाता है और पहला प्रशासन उपयोगकर्ता बनाता है।

जहाँ तक हम बता सकते हैं, कैस के लिए कम है सिक्का एटीएम सर्वर, और जनरल बाइट्स क्रिप्टोक्यूरेंसी एटीएम के प्रत्येक ऑपरेटर को इनमें से एक की आवश्यकता होती है।

ऐसा लगता है कि आप अपने सीएएस को कहीं भी होस्ट कर सकते हैं, ऐसा लगता है, अपने स्वयं के सर्वर रूम में अपने स्वयं के हार्डवेयर पर, लेकिन कम लागत वाले क्लाउड समाधान के लिए जनरल बाइट्स का होस्टिंग कंपनी डिजिटल ओशन के साथ एक विशेष सौदा है। (आप सभी नकद लेनदेन में 0.5% कटौती के बदले में जनरल बाइट्स को क्लाउड में आपके लिए सर्वर चलाने दे सकते हैं।)

घटना की रिपोर्ट के अनुसार, संभावित पीड़ितों की सूची खोजने के लिए हमलावरों ने डिजिटल ओशन की क्लाउड सेवाओं का एक पोर्ट स्कैन किया, वेब सेवाओं (पोर्ट 7777 या 443) की तलाश में, जिन्होंने खुद को जनरल बाइट्स सीएएस सर्वर के रूप में पहचाना।

ध्यान दें कि यहां शोषण की गई भेद्यता डिजिटल महासागर तक सीमित नहीं थी या क्लाउड-आधारित CAS उदाहरणों तक सीमित नहीं थी। हम अनुमान लगा रहे हैं कि हमलावरों ने बस यह तय कर लिया था कि डिजिटल महासागर देखना शुरू करने के लिए एक अच्छी जगह है। याद रखें कि बहुत तेज़ गति के इंटरनेट कनेक्शन (जैसे 10Gbit/sec) के साथ, और स्वतंत्र रूप से उपलब्ध सॉफ़्टवेयर का उपयोग करके, निर्धारित हमलावर अब पूरे IPv4 इंटरनेट एड्रेस स्पेस को घंटों या मिनटों में स्कैन कर सकते हैं। इसी तरह सार्वजनिक भेद्यता खोज इंजन जैसे शोडन और सेन्सिस काम करते हैं, यह पता लगाने के लिए कि कौन से सर्वर, और कौन से संस्करण, वर्तमान में किन ऑनलाइन स्थानों पर सक्रिय हैं, लगातार इंटरनेट का पता लगा रहे हैं।

जाहिर है, CAS में ही एक भेद्यता ने हमलावरों को पीड़ित की क्रिप्टोक्यूरेंसी सेवाओं की सेटिंग्स में हेरफेर करने की अनुमति दी, जिसमें शामिल हैं:

• एक नया उपयोगकर्ता जोड़ना प्रशासनिक विशेषाधिकारों के साथ।
• इस नए व्यवस्थापक खाते का उपयोग करना मौजूदा एटीएम को फिर से कॉन्फ़िगर करने के लिए।
• सभी अमान्य भुगतानों को डायवर्ट करना अपने स्वयं के बटुए के लिए।

जहां तक ​​​​हम देख सकते हैं, इसका मतलब है कि किए गए हमले हस्तांतरण या निकासी तक सीमित थे जहां ग्राहक ने गलती की थी।

ऐसे मामलों में, ऐसा लगता है, एटीएम ऑपरेटर के बजाय गलत दिशा में धन एकत्र करने के लिए, ताकि बाद में उन्हें प्रतिपूर्ति या सही ढंग से पुनर्निर्देशित किया जा सके ...

…धन सीधे और अपरिवर्तनीय रूप से हमलावरों के पास जाएगा।

जनरल बाइट्स ने यह नहीं बताया कि यह दोष उसके ध्यान में कैसे आया, हालांकि हम कल्पना करते हैं कि किसी भी एटीएम ऑपरेटर को असफल लेनदेन के बारे में समर्थन कॉल का सामना करना पड़ता है, वह तुरंत नोटिस करेगा कि उनकी सेवा सेटिंग्स में छेड़छाड़ की गई है, और अलार्म उठाएं।

समझौता के संकेतक

ऐसा प्रतीत होता है कि हमलावरों ने अपनी गतिविधि के विभिन्न संकेतों को पीछे छोड़ दिया, जिससे कि जनरल बाइट्स कई तथाकथित की पहचान करने में सक्षम हो गए। समझौता के संकेतक (IoCs) अपने उपयोगकर्ताओं को हैक किए गए CAS कॉन्फ़िगरेशन की पहचान करने में मदद करने के लिए।

(याद रखें, निश्चित रूप से, आईओसी की अनुपस्थिति किसी भी हमलावर की अनुपस्थिति की गारंटी नहीं देती है, लेकिन ज्ञात आईओसी खतरे का पता लगाने और प्रतिक्रिया के लिए शुरू करने के लिए एक आसान जगह है।)

सौभाग्य से, शायद इस तथ्य के कारण कि यह शोषण अवैध भुगतानों पर निर्भर था, हमलावरों को सीधे एटीएम से बाहर निकलने की अनुमति देने के बजाय, इस घटना में कुल वित्तीय नुकसान नहीं होता है मल्टीमिलियन डॉलर राशियाँ अक्सर जुड़े साथ में क्रिप्टोकुरेंसी ब्लंडर्स.

जनरल बाइट्स ने कल दावा किया [2022-08-22] कि "[i] घटना की सूचना चेक पुलिस को दी गई। उनके फीडबैक के आधार पर एटीएम ऑपरेटरों को हुई कुल क्षति यूएस$16,000 है।"

कंपनी अपने ग्राहकों की ओर से प्रबंधित किसी भी एटीएम को स्वचालित रूप से निष्क्रिय कर देती है, इस प्रकार उन ग्राहकों को अपने एटीएम उपकरणों को पुनः सक्रिय करने से पहले लॉगिन करने और अपनी सेटिंग्स की समीक्षा करने की आवश्यकता होती है।

क्या करना है?

जनरल बाइट्स ने सूचीबद्ध किया है a 11- कदम प्रक्रिया कि इसके ग्राहकों को इस समस्या को दूर करने के लिए अनुसरण करने की आवश्यकता है, जिसमें शामिल हैं:

• पैच सीएएस सर्वर।
• फ़ायरवॉल सेटिंग्स की समीक्षा करना कम से कम नेटवर्क उपयोगकर्ताओं तक पहुंच को प्रतिबंधित करने के लिए।
• एटीएम टर्मिनलों को निष्क्रिय करना ताकि सर्वर को फिर से समीक्षा के लिए लाया जा सके।
• सभी सेटिंग्स की समीक्षा करना, जिसमें कोई भी फर्जी टर्मिनल शामिल है जिसे जोड़ा जा सकता है।
• टर्मिनलों को पुनः सक्रिय करना सभी खतरे-शिकार चरणों को पूरा करने के बाद ही।

वैसे, यह हमला इस बात की एक मजबूत याद दिलाता है कि समकालीन खतरे की प्रतिक्रिया क्यों है केवल छेदों को ठीक करने और मैलवेयर हटाने के बारे में नहीं है.

इस मामले में, अपराधियों ने किसी भी मैलवेयर को आरोपित नहीं किया था: हमले को केवल दुर्भावनापूर्ण कॉन्फ़िगरेशन परिवर्तनों के माध्यम से किया गया था, अंतर्निहित ऑपरेटिंग सिस्टम और सर्वर सॉफ़्टवेयर को अछूता छोड़ दिया गया था।

पर्याप्त समय या स्टाफ नहीं?
इस बारे में अधिक जानें सोफोस प्रबंधित पहचान और प्रतिक्रिया:
24/7 खतरे का शिकार, पता लगाना और प्रतिक्रिया  ▶

---

के माध्यम से कल्पित बिटकॉन्स की विशेष रुप से प्रदर्शित छवि अनप्लैश लाइसेंस.