Anda tidak akan mengetahuinya dengan mengunjungi situs web utama perusahaan, tetapi General Bytes, perusahaan Ceko yang menjual ATM Bitcoin, mendesak penggunanya untuk tambal bug yang menguras uang dalam perangkat lunak servernya.
Perusahaan mengklaim penjualan di seluruh dunia lebih dari 13,000 ATM, yang dijual seharga $5000 ke atas, tergantung pada fitur dan tampilan.
Tidak semua negara menerima ATM cryptocurrency – regulator Inggris, misalnya, diperingatkan pada Maret 2022 bahwa tidak ada ATM yang beroperasi di negara tersebut pada saat itu yang terdaftar secara resmi, dan mengatakan bahwa itu akan menjadi “menghubungi operator yang menginstruksikan agar mesin dimatikan”.
Kami pergi untuk memeriksa ATM kripto lokal kami pada saat itu, dan menemukannya menampilkan pesan "Terminal offline". (Perangkat telah dihapus dari pusat perbelanjaan tempat dipasangnya.)
Namun demikian, General Bytes mengatakan bahwa ia melayani pelanggan di lebih dari 140 negara, dan peta global lokasi ATM menunjukkan kehadirannya di setiap benua kecuali Antartika.
Insiden keamanan dilaporkan
Menurut basis pengetahuan produk General Bytes, "insiden keamanan" pada tingkat keparahan Paling tinggi adalah ditemukan minggu lalu.
Dengan kata-kata perusahaan sendiri:
Penyerang dapat membuat pengguna admin dari jarak jauh melalui antarmuka administratif CAS melalui panggilan URL pada halaman yang digunakan untuk instalasi default di server dan membuat pengguna administrasi pertama.
Sejauh yang kami tahu, CAS adalah singkatan Server ATM koin, dan setiap operator ATM cryptocurrency General Bytes membutuhkan salah satunya.
Anda dapat meng-host CAS Anda di mana pun Anda suka, tampaknya, termasuk pada perangkat keras Anda sendiri di ruang server Anda sendiri, tetapi General Bytes memiliki kesepakatan khusus dengan perusahaan hosting Digital Ocean untuk solusi cloud berbiaya rendah. (Anda juga dapat membiarkan General Bytes menjalankan server untuk Anda di cloud dengan imbalan potongan 0.5% dari semua transaksi tunai.)
Menurut laporan insiden, penyerang melakukan pemindaian port layanan cloud Digital Ocean, mencari layanan web yang mendengarkan (port 7777 atau 443) yang mengidentifikasi diri mereka sebagai server General Bytes CAS, untuk menemukan daftar calon korban.
Perhatikan bahwa kerentanan yang dieksploitasi di sini tidak terbatas pada Digital Ocean atau terbatas pada instans CAS berbasis cloud. Kami menduga bahwa penyerang hanya memutuskan bahwa Digital Ocean adalah tempat yang baik untuk mulai mencari. Ingatlah bahwa dengan koneksi internet berkecepatan sangat tinggi (misalnya 10 Gbit/detik), dan menggunakan perangkat lunak yang tersedia secara bebas, penyerang yang gigih sekarang dapat memindai seluruh ruang alamat internet IPv4 dalam hitungan jam, atau bahkan menit. Begitulah cara mesin pencari kerentanan publik seperti Shodan dan Censys bekerja, terus-menerus menjelajah internet untuk menemukan server mana, dan versi apa, yang saat ini aktif di lokasi online mana.
Rupanya, kerentanan di CAS itu sendiri memungkinkan penyerang untuk memanipulasi pengaturan layanan cryptocurrency korban, termasuk:
- Menambahkan pengguna baru dengan hak administratif.
- Menggunakan akun admin baru ini untuk mengkonfigurasi ulang ATM yang ada.
- Mengalihkan semua pembayaran yang tidak valid ke dompet mereka sendiri.
Sejauh yang kami lihat, ini berarti serangan yang dilakukan terbatas pada transfer atau penarikan di mana pelanggan melakukan kesalahan.
Dalam kasus seperti itu, tampaknya, alih-alih operator ATM mengumpulkan dana yang salah arah sehingga dapat diganti atau dialihkan dengan benar…
…dana akan langsung mengalir ke para penyerang.
General Bytes tidak mengatakan bagaimana kelemahan ini menjadi perhatiannya, meskipun kami membayangkan bahwa setiap operator ATM yang menghadapi panggilan dukungan tentang transaksi yang gagal akan segera menyadari bahwa pengaturan layanan mereka telah dirusak, dan membunyikan alarm.
Indikator Kompromi
Para penyerang, tampaknya, meninggalkan berbagai tanda aktivitas mereka, sehingga Jenderal Bytes dapat mengidentifikasi banyak yang disebut Indikator Kompromi (IoC) untuk membantu penggunanya mengidentifikasi konfigurasi CAS yang diretas.
(Ingat, tentu saja, bahwa tidak adanya IoC tidak menjamin tidak adanya penyerang, tetapi IoC yang diketahui adalah tempat yang berguna untuk memulai dalam hal deteksi dan respons ancaman.)
Untungnya, mungkin karena fakta bahwa eksploitasi ini mengandalkan pembayaran yang tidak valid, daripada membiarkan penyerang menguras ATM secara langsung, kerugian finansial secara keseluruhan dalam insiden ini tidak akan terjadi. jutaan dolar jumlah sering dikaitkan dengan kesalahan cryptocurrency.
General Bytes mengklaim kemarin [2022-08-22] bahwa “[i]insiden dilaporkan ke Polisi Ceko. Total kerusakan yang terjadi pada operator ATM berdasarkan umpan balik mereka adalah US$16,000.”
Perusahaan juga secara otomatis menonaktifkan ATM apa pun yang dikelolanya atas nama pelanggannya, sehingga mengharuskan pelanggan tersebut untuk masuk dan meninjau pengaturan mereka sendiri sebelum mengaktifkan kembali perangkat ATM mereka.
Apa yang harus dilakukan?
General Bytes telah mendaftarkan dan Proses 11-step yang harus diikuti pelanggannya untuk mengatasi masalah ini, termasuk:
- Menambal server CAS.
- Meninjau pengaturan firewall untuk membatasi akses ke pengguna jaringan sesedikit mungkin.
- Menonaktifkan terminal ATM sehingga server dapat dimunculkan kembali untuk ditinjau.
- Meninjau semua pengaturan, termasuk terminal palsu yang mungkin telah ditambahkan.
- Mengaktifkan kembali terminal hanya setelah menyelesaikan semua langkah berburu ancaman.
Omong-omong, serangan ini adalah pengingat kuat mengapa respons ancaman kontemporer bukan hanya tentang menambal lubang dan menghapus malware.
Dalam kasus ini, para penjahat tidak menanamkan malware apa pun: serangan itu diatur hanya melalui perubahan konfigurasi yang jahat, dengan sistem operasi dan perangkat lunak server yang mendasarinya tidak tersentuh.
Tidak cukup waktu atau staf?
Pelajari lebih lanjut tentang Deteksi dan Respons Terkelola Sophos:
Perburuan, deteksi, dan respons ancaman 24/7 ▶
Gambar unggulan dari Bitcoin yang dibayangkan melalui Hapus lisensi.
- ATM
- blockchain
- BTC
- kecerdasan
- kripto
- cryptocurrency
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- Departemen Keamanan Dalam Negeri
- dompet digital
- firewall
- Bytes Umum
- Kaspersky
- malware
- mcafe
- Keamanan Telanjang
- BerikutnyaBLOC
- penarikan hantu
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- VPN
- kerentanan
- website security
- zephyrnet.dll
![S3 Ep 126: Harga fast fashion (dan fitur creep) [Audio + Text]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-300x156.png "S3 Ep 126: Harga fast fashion (dan fitur creep) [Audio + Text]")
