Gli hacker sfruttano il bug di Zero Day: rubano dai byte generici ATM BTC

Gli hacker sfruttano il bug zero day che consente loro di rubare dagli sportelli bancomat Bitcoin di General Bytes. L'attacco è avvenuto il 18 agosto, quando sono stati sfruttati i server del suddetto produttore di bancomat BTC. Il bug zero day ha consentito agli hacker di designarsi come amministratore predefinito e modificare le impostazioni.

In questo modo gli hacker sono riusciti a trasferire tutto il denaro rubato sui propri portafogli.

L'importo dei soldi prelevati e il numero di bancomat interessati non sono stati pubblicati, tuttavia l'azienda ha invitato gli operatori bancomat ad aggiornare immediatamente il proprio software.

Gli hacker sfruttano il bug Zero Day

Il 18 agosto General Bytes, che possiede e gestisce 8827 bancomat Bitcoin in oltre 120 paesi, ha riconosciuto l'hack. La sede dell’azienda è a Praga, nella Repubblica Ceca, dove vengono prodotti anche gli sportelli bancomat. I clienti che utilizzano gli sportelli bancomat possono acquistare o vendere più di 40 monete.

La vulnerabilità esiste dal 18 agosto, quando le modifiche apportate dall’hacker hanno portato il software CAS alla versione 20201208.

Ai clienti è stato consigliato di non utilizzare i server ATM General Bytes finché i server non saranno stati aggiornati alle patch 20220725.22 e 20220531.38 per i clienti che operano su 20220531.

I clienti sono stati inoltre incoraggiati, tra le altre cose, a modificare le impostazioni del firewall del server in modo che l'interfaccia di amministrazione CAS sia accessibile solo da indirizzi IP consentiti.

General Bytes ha inoltre avvertito i consumatori di esaminare le loro "Impostazioni SELL Crypto" prima di riattivare i terminali per assicurarsi che gli hacker non modificassero le impostazioni in modo che il denaro in entrata venisse invece inviato a loro (e non ai clienti).

Sin dal suo inizio nel 2020, General Bytes ha completato numerosi controlli di sicurezza, nessuno dei quali ha rilevato questo problema.

Come è successo?

Secondo il team di consulenza sulla sicurezza di General Bytes, gli hacker hanno utilizzato un exploit di vulnerabilità zero-day per ottenere l’accesso al Crypto Application Server (CAS) dell’azienda e rubare i soldi.

Il server CAS supervisiona l'intero funzionamento del bancomat, inclusa l'esecuzione di acquisti e vendite di criptovalute sugli scambi e quali valute sono supportate.

Secondo l’azienda, gli hacker “hanno cercato server vulnerabili che operano sulle porte TCP 7777 o 443, compresi i server ospitati sul servizio cloud di General Bytes”.

Gli hacker si sono poi registrati come amministratori predefiniti sul CAS, chiamandosi gb, e hanno poi modificato le impostazioni di "acquisto" e "vendita" in modo tale che qualsiasi criptovaluta ricevuta dal bancomat Bitcoin fosse invece inviata all'indirizzo del portafoglio dell'hacker:

"L'attaccante è stato in grado di creare un utente amministratore in remoto tramite l'interfaccia amministrativa CAS tramite una chiamata URL sulla pagina utilizzata per l'installazione predefinita sul server e creando il primo utente amministratore".

Leggi l' ultime notizie su criptovaluta.