A Bitcoin ATM-ügyfelei feltörték videófeltöltéssel, amely valójában egy alkalmazás volt

Az operációs rendszer történetében rengeteg katonai szójáték található.

A Unix híresen egy egész sereg személyzettel rendelkezik Főszám, akik megszervezik az olyan eszközök zászlóalját, mint a lemezmeghajtók, billentyűzetek és webkamerák a rendszerében.

A Microsoft egykor a látszólag hozzá nem értőkkel küszködött Általános hiba, akit rendszeresen észleltek, amikor megpróbálta olvasni a DOS-lemezeit, és kudarcot vallott.

A Linuxnak időnként problémái vannak Pánik ezredes, akinek megjelenés Ezt általában adatok elvesztése, potenciálisan sérült fájlrendszerek követik, és sürgősen ki kell kapcsolni és újra kell indítani a számítógépet.

És úgy tűnik, hogy egy cseh kriptovaluta cég nem kapja meg azt a fajta megbízhatóságot, amelyet ésszerűen elvárhatna egy olyan személyiségtől, Általános bájt.

Tulajdonképpen, Általános bájt maga a cég neve, amely vállalkozástól sajnos nem idegen a nem kívánt behatolás és a kriptovaluta alapokhoz való jogosulatlan hozzáférés.

Egyszer szerencsétlenség

2022 augusztusában megírtuk, hogyan járt Bytes tábornok bukott áldozat egy szerveroldali hibához, amelyben a távoli támadók becsaphatják az ügyfél ATM-kiszolgálóját, hogy hozzáférést biztosítsanak a „vadiúj rendszer beállítása” konfigurációs oldalakhoz.

Ha valaha is frissített iPhone-t vagy Android-eszközt, akkor tudni fogja, hogy az eredeti beállítást végrehajtó személy irányítja az eszközt, különösen azért, mert neki kell konfigurálnia az elsődleges felhasználót, és ki kell választania egy vadonatúj zárkódot. vagy jelmondatot a folyamat során.

Azt is tudni fogja azonban, hogy a modern mobiltelefonok erőszakkal törlik az eszköz régi tartalmát, beleértve a régi felhasználó összes adatát, mielőtt újratelepítenék és újrakonfigurálnák az operációs rendszert, az alkalmazásokat és a rendszerbeállításokat.

Más szóval, újra lehet kezdeni, de nem tudod ott folytatni, ahol az utolsó felhasználó abbahagyta, ellenkező esetben használhatsz rendszerfrissítést (vagy DFU-t, röviden eszköz firmware frissítése, ahogy az Apple nevezi), hogy az előző tulajdonos fájljaihoz jussunk.

A General Bytes ATM-szerveren azonban az illetéktelen hozzáférési útvonal, amely a támadókat a nulláról induló beállítási képernyőkre juttatta, először nem semlegesítette a behatolt eszközön lévő adatokat…

…hogy a szélhámosok visszaélhessenek a szerver „új adminisztrátori fiók létrehozása” folyamatával, hogy további adminisztrátori felhasználót hozzanak létre egy meglévő rendszer.

Kétszer gondatlanságnak tűnik

Legutóbb Bytes tábornok egy kártevő nélküli támadást szenvedett el, ahol a bűnözők nem ültettek be rosszindulatú kódot.

A 2022-es támadást egyszerűen rosszindulatú konfigurációmódosítások irányították, a mögöttes operációs rendszer és a szerverszoftver érintetlensége mellett.

Ezúttal a támadók a hagyományosabb megközelítés amely implantátumra támaszkodott: rosszindulatú szoftver, vagy malware röviden: egy biztonsági résen keresztül töltötték fel, majd „alternatív vezérlőpanelnek” használták.

Magyarán: a szélhámosok találtak egy hibát, ami lehetővé tette számukra, hogy egy hátsó ajtót telepítsenek, hogy ezután engedély nélkül bejussanak.

Ahogy Bytes tábornok fogalmazott:

A támadó képes volt távolról feltölteni saját Java-alkalmazását a terminálok által videók feltöltésére használt fő szolgáltatási felületen keresztül, és batm felhasználói jogosultságokkal futtatni.

Nem tudjuk, miért van szüksége egy ATM-nek távoli kép- és videófeltöltési lehetőségre, mintha valami közösségi blogoldalról vagy közösségi médiaszolgáltatásról lenne szó…

…de úgy tűnik, hogy a Coin ATM Server rendszerben van egy ilyen funkció, feltehetően azért, hogy a hirdetéseket és egyéb speciális ajánlatokat közvetlenül az ATM-eket felkereső ügyfelek számára népszerűsítse.

Feltöltések, amelyek nem azok, aminek látszanak

Sajnos minden olyan szervernek, amely lehetővé teszi a feltöltést, még akkor is, ha azok megbízható (vagy legalábbis hitelesített forrásból) származnak, több dologra is ügyelnie kell:

• A feltöltéseket olyan állomáshelyre kell írni, ahol kívülről nem lehet azonnal visszaolvasni. Ez segít abban, hogy megbízhatatlan felhasználók ne alakíthassák a szervert a jogosulatlan vagy nem megfelelő tartalom ideiglenes kézbesítési rendszerévé olyan URL-címen keresztül, amely legitimnek tűnik, mert tartalmazza az Ön márkájának imprimaturáját.
• A feltöltéseket ellenőrizni kell, hogy megfeleljenek az engedélyezett fájltípusoknak. Ez segít megakadályozni, hogy a szélhámos felhasználók csapdába ejtsék a feltöltési területet azáltal, hogy teleszórják azt szkriptekkel vagy programokkal, amelyek később a szerveren futhatnak, ahelyett, hogy egyszerűen kiszolgálnák egy következő látogatónak.
• A feltöltéseket a lehető legszigorúbb hozzáférési engedélyekkel kell menteni, hogy a csapdába esett vagy sérült fájlok véletlenül se legyenek végrehajthatók, vagy akár a rendszer biztonságosabb részeiről is hozzáférjenek.

Úgy tűnik, Bytes tábornok nem tette meg ezeket az óvintézkedéseket, aminek eredményeként a támadók a magánélet megsértésére és a kriptovaluta-betörési műveletek széles skáláját hajthatták végre.

A rosszindulatú tevékenység nyilvánvalóan a következőket foglalta magában: a forró pénztárcákban és tőzsdékben lévő pénzeszközökhöz való hozzáféréshez használt hitelesítési kódok olvasása és visszafejtése; pénzeszközök küldése forró pénztárcákból; felhasználónevek és jelszókivonatok letöltése; ügyfél kriptográfiai kulcsainak lekérése; a 2FA kikapcsolása; és az eseménynaplók elérése.

Mit kell tenni?

• Ha General Bytes Coin ATM rendszereket futtat, olvassa el a cégét jogsértési jelentés, amely megmondja, hogyan kell keresni az úgynevezett IoC-ket (a kompromisszum mutatói), és mit kell tennie, amíg a javítások közzétételére vár.

Vegye figyelembe, hogy a vállalat megerősítette, hogy mind az önálló Coin ATM-szervereket, mind a saját felhőalapú rendszereit (ahol a General Bytes 0.5%-os illetéket kell fizetnie minden tranzakció után, cserébe azért, hogy ők üzemeltetik a szervereit) érintette.

Érdekes módon Bytes tábornok arról számol be, hogy ez lesz „lezárja felhőszolgáltatását”, és ehhez ragaszkodunk "telepítenie kell saját önálló szerverét". (A jelentés nem ad határidőt, de a cég már aktívan kínál migrációs támogatást.)

Egy olyan fordulatban, amely a legtöbb kortárs szolgáltatás-orientált vállalattal ellentétes irányba viszi a vállalatot, Bytes tábornok ragaszkodik ahhoz, hogy „Elméletileg (és gyakorlatilag) lehetetlen olyan rendszert biztosítani, amely egyszerre több szolgáltatónak is hozzáférést biztosít, ahol néhányan rossz szereplők.”

• Ha nemrégiben General Bytes ATM-et használt, forduljon a kriptovaluta tőzsdéhez vagy tőzsdékhez, hogy tanácsot kérjen arról, hogy mit tegyen, és hogy veszélyben van-e valamelyik pénzeszköze.

• Ha Ön programozó, aki egy online szolgáltatást keres, legyen az önálló vagy felhőalapú, olvassa el és vegye figyelembe a fenti feltöltésekkel és feltöltési könyvtárakkal kapcsolatos tanácsainkat.

• Ha Ön egy kriptovaluta rajongó, a lehető legkevesebb kriptocoin-tartalékot tartsd meg az ún forró pénztárcák.

A forró pénztárcák alapvetően olyan alapok, amelyek egy pillanat alatt készen állnak a kereskedésre (talán automatikusan), és jellemzően megkövetelik, hogy valaki másra bízza saját kriptográfiai kulcsait, vagy ideiglenesen utaljon át pénzt egy vagy több pénztárcájába.

---

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
• Forrás: https://nakedsecurity.sophos.com/2023/03/20/bitcoin-atm-customers-hacked-by-video-upload-that-was-actually-an-app/