Pelanggan ATM Bitcoin diretas oleh unggahan video yang sebenarnya adalah sebuah aplikasi

Ada banyak permainan kata-kata militer dalam sejarah sistem operasi.

Unix terkenal memiliki banyak personel yang dikenal sebagai Nomor Utama, yang mengatur batalyon perangkat seperti disk drive, keyboard, dan webcam di sistem Anda.

Microsoft pernah berjuang dengan yang tampaknya tidak kompeten Kegagalan Umum, yang sering terlihat mencoba membaca disk DOS Anda dan gagal.

Linux kadang-kadang mengalami masalah Kolonel PanikSiapa, penampilan biasanya diikuti dengan hilangnya data, sistem file yang berpotensi rusak, dan kebutuhan mendesak untuk mematikan daya dan menyalakan ulang komputer Anda.

Dan perusahaan cryptocurrency Ceko tampaknya tidak mendapatkan keandalan yang mungkin Anda harapkan dari seseorang yang dipanggil Bytes Umum.

Sebenarnya, Bytes Umum adalah nama perusahaan itu sendiri, sebuah bisnis yang sayangnya tidak asing dengan gangguan yang tidak diinginkan dan akses tidak sah ke dana cryptocurrency.

Sekali adalah kemalangan

Pada Agustus 2022, kami menulis bagaimana General Bytes melakukannya korban jatuh ke bug sisi server di mana penyerang jarak jauh dapat mengelabui server ATM pelanggan agar memberi mereka akses ke halaman konfigurasi "menyiapkan sistem baru".

Jika Anda pernah mem-reflash iPhone atau perangkat Android, Anda akan tahu bahwa orang yang melakukan penyiapan asli berakhir dengan kontrol atas perangkat, terutama karena mereka dapat mengonfigurasi pengguna utama dan memilih kode kunci baru. atau frasa sandi selama proses.

Namun, Anda juga akan tahu bahwa ponsel modern secara paksa menghapus konten lama perangkat, termasuk semua data pengguna lama, sebelum menginstal ulang dan mengonfigurasi ulang sistem operasi, aplikasi, dan pengaturan sistem.

Dengan kata lain, Anda dapat memulai lagi, tetapi Anda tidak dapat mengambil alih di mana pengguna terakhir berhenti, jika tidak, Anda dapat menggunakan reflash sistem (atau DFU, kependekan dari peningkatan firmware perangkat, sebagaimana Apple menyebutnya) untuk mendapatkan file pemilik sebelumnya.

Namun, di server ATM General Bytes, jalur akses tidak sah yang membuat penyerang masuk ke layar penyiapan "mulai dari awal" tidak menetralkan data apa pun pada perangkat yang disusupi terlebih dahulu…

…sehingga penjahat dapat menyalahgunakan proses “menyiapkan akun administratif baru” server untuk membuat pengguna admin tambahan di sistem yang ada.

Dua kali terlihat seperti kecerobohan

Terakhir kali, General Bytes mengalami apa yang Anda sebut serangan tanpa malware, di mana penjahat tidak menanamkan kode berbahaya apa pun.

Serangan 2022 diatur hanya melalui perubahan konfigurasi yang jahat, dengan sistem operasi yang mendasari dan perangkat lunak server tidak tersentuh.

Kali ini, penyerang menggunakan a pendekatan yang lebih konvensional yang mengandalkan implan: perangkat lunak berbahaya, atau malware singkatnya, itu diunggah melalui celah keamanan dan kemudian digunakan sebagai apa yang Anda sebut "panel kontrol alternatif".

Dalam bahasa Inggris yang sederhana: penjahat menemukan bug yang memungkinkan mereka memasang pintu belakang sehingga mereka bisa masuk setelahnya tanpa izin.

Seperti yang dikatakan General Bytes:

Penyerang dapat mengunggah aplikasi Java-nya sendiri dari jarak jauh melalui antarmuka layanan utama yang digunakan oleh terminal untuk mengunggah video dan menjalankannya menggunakan hak pengguna batm.

Kami tidak yakin mengapa ATM memerlukan opsi pengunggahan gambar dan video jarak jauh, seolah-olah itu semacam situs blog komunitas atau layanan media sosial…

…tetapi tampaknya sistem Server ATM Koin memang menyertakan fitur seperti itu, mungkin agar iklan dan penawaran khusus lainnya dapat dipromosikan langsung ke pelanggan yang mengunjungi ATM.

Unggahan yang tidak seperti kelihatannya

Sayangnya, server mana pun yang mengizinkan pengunggahan, meskipun berasal dari sumber tepercaya (atau setidaknya sumber yang diautentikasi), perlu berhati-hati terhadap beberapa hal:

• Unggahan perlu ditulis ke dalam area pementasan yang tidak dapat langsung dibaca kembali dari luar. Hal ini membantu memastikan bahwa pengguna yang tidak dapat dipercaya tidak dapat mengubah server Anda menjadi sistem pengiriman sementara untuk konten yang tidak sah atau tidak pantas melalui URL yang terlihat sah karena memiliki hak cipta merek Anda.
• Unggahan perlu diperiksa untuk memastikan kesesuaiannya dengan jenis file yang diizinkan. Ini membantu menghentikan pengguna jahat dari menjebak area unggahan Anda dengan mengotorinya dengan skrip atau program yang nantinya mungkin akan dieksekusi di server daripada hanya disajikan kepada pengunjung berikutnya.
• Unggahan harus disimpan dengan izin akses paling ketat yang memungkinkan, sehingga file yang terjebak atau rusak tidak dapat dieksekusi atau bahkan diakses secara tidak sengaja dari bagian sistem yang lebih aman.

General Bytes, tampaknya, tidak mengambil tindakan pencegahan ini, sehingga penyerang dapat melakukan berbagai tindakan perusak privasi dan peretasan mata uang kripto.

Aktivitas jahat tersebut tampaknya termasuk: membaca dan mendekripsi kode autentikasi yang digunakan untuk mengakses dana di hot wallet dan bursa; mengirim dana dari dompet panas; mengunduh nama pengguna dan hash kata sandi; mengambil kunci kriptografi pelanggan; mematikan 2FA; dan mengakses log peristiwa.

Apa yang harus dilakukan?

• Jika Anda menjalankan sistem ATM General Bytes Coin, membaca perusahaan laporan pelanggaran, yang memberi tahu Anda cara mencari apa yang disebut IoC (indikator kompromi), dan apa yang harus dilakukan saat Anda menunggu tambalan diterbitkan.

Perhatikan bahwa perusahaan telah mengonfirmasi bahwa Server ATM Koin mandiri dan sistem berbasis cloud-nya sendiri (di mana Anda membayar retribusi 0.5% kepada General Bytes untuk semua transaksi dengan imbalan mereka menjalankan server Anda untuk Anda) terpengaruh.

Menariknya, General Bytes melaporkan bahwa itu akan terjadi “menutup layanan cloud-nya”, dan bersikeras itu “Anda harus menginstal server mandiri Anda sendiri”. (Laporan tersebut tidak memberikan tenggat waktu, tetapi perusahaan sudah secara aktif menawarkan dukungan migrasi.)

Dalam perubahan yang akan membawa perusahaan ke arah yang berlawanan dengan sebagian besar perusahaan berorientasi layanan kontemporer lainnya, General Bytes menegaskan bahwa “secara teoritis (dan secara praktis) tidak mungkin untuk mengamankan sistem yang memberikan akses ke banyak operator pada saat yang sama di mana beberapa dari mereka adalah aktor yang buruk.”

• Jika Anda telah menggunakan ATM General Bytes baru-baru ini, hubungi bursa atau bursa mata uang kripto Anda untuk saran tentang apa yang harus dilakukan, dan apakah ada dana Anda yang berisiko.

• Jika Anda seorang programmer yang menjaga layanan online, apakah itu self-hosted atau cloud-hosted, baca dan perhatikan saran kami di atas tentang unggahan dan direktori unggahan.

• Jika Anda adalah penggemar cryptocurrency, simpan sesedikit mungkin simpanan cryptocoin Anda di apa yang disebut dompet panas.

Dompet panas pada dasarnya adalah dana yang siap untuk diperdagangkan pada saat itu juga (mungkin secara otomatis), dan biasanya mengharuskan Anda mempercayakan kunci kriptografi Anda sendiri kepada orang lain, atau untuk sementara mentransfer dana ke satu atau lebih dompet mereka.

---

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
• Sumber: https://nakedsecurity.sophos.com/2023/03/20/bitcoin-atm-customers-hacked-by-video-upload-that-was-actually-an-app/