Non lo sapresti visitando il sito Web principale dell'azienda, ma la General Bytes, una società ceca che vende bancomat Bitcoin, è sollecitando i suoi utenti a rattoppare un bug critico per drenare denaro nel suo software server.
La società rivendica vendite mondiali di oltre 13,000 bancomat, che vendono al dettaglio da $ 5000 in su, a seconda delle caratteristiche e dell'aspetto.
Non tutti i paesi hanno accolto favorevolmente gli sportelli automatici di criptovaluta: l'autorità di regolamentazione del Regno Unito, ad esempio, avvertito nel marzo 2022 che nessuno degli sportelli automatici operanti nel paese in quel momento era ufficialmente registrato e disse che lo sarebbe stato “contattare gli operatori per chiedere lo spegnimento delle macchine”.
Siamo andati a controllare il nostro bancomat crittografico locale in quel momento e abbiamo scoperto che mostrava un messaggio "Terminale offline". (Da allora il dispositivo è stato rimosso dal centro commerciale in cui era installato.)
Tuttavia, la General Bytes afferma di servire clienti in più di 140 paesi e la sua mappa globale delle posizioni degli ATM mostra una presenza in tutti i continenti tranne l'Antartide.
Segnalato incidente di sicurezza
Secondo la knowledge base del prodotto General Bytes, un "incidente di sicurezza" con un livello di gravità di Massimo Prima scoperto la scorsa settimana.
Nelle stesse parole dell'azienda:
L'autore dell'attacco è stato in grado di creare un utente amministratore in remoto tramite l'interfaccia amministrativa CAS tramite una chiamata URL sulla pagina utilizzata per l'installazione predefinita sul server e creando il primo utente amministratore.
Per quanto possiamo dire, CAS è l'abbreviazione di Server ATM a gettonie ogni operatore di ATM di criptovaluta General Bytes ha bisogno di uno di questi.
Puoi ospitare il tuo CAS ovunque tu voglia, anche sul tuo hardware nella tua sala server, ma General Bytes ha un accordo speciale con la società di hosting Digital Ocean per una soluzione cloud a basso costo. (Puoi anche lasciare che General Bytes esegua il server per te nel cloud in cambio di una riduzione dello 0.5% di tutte le transazioni in contanti.)
Secondo il rapporto sull'incidente, gli aggressori hanno eseguito una scansione delle porte dei servizi cloud di Digital Ocean, alla ricerca di servizi Web di ascolto (porte 7777 o 443) che si sono identificati come server CAS General Bytes, al fine di trovare un elenco di potenziali vittime.
Tieni presente che la vulnerabilità sfruttata in questo caso non era riconducibile a Digital Ocean o limitata alle istanze CAS basate su cloud. Immaginiamo che gli aggressori abbiano semplicemente deciso che Digital Ocean fosse un buon posto per iniziare a cercare. Ricorda che con una connessione Internet ad altissima velocità (ad es. 10 Gbit/sec) e utilizzando un software disponibile gratuitamente, gli aggressori determinati possono ora scansionare l'intero spazio di indirizzi Internet IPv4 in ore o addirittura minuti. È così che funzionano i motori di ricerca di vulnerabilità pubblici come Shodan e Censys, che esplorano continuamente Internet per scoprire quali server e quali versioni sono attualmente attivi in quali posizioni online.
Apparentemente, una vulnerabilità nel CAS stesso ha consentito agli aggressori di manipolare le impostazioni dei servizi di criptovaluta della vittima, tra cui:
- Aggiungere un nuovo utente con privilegi amministrativi.
- Utilizzo di questo nuovo account amministratore per riconfigurare gli sportelli automatici esistenti.
- Deviazione di tutti i pagamenti non validi a un portafoglio tutto loro.
Per quanto possiamo vedere, ciò significa che gli attacchi condotti si sono limitati a bonifici o prelievi in cui il cliente ha commesso un errore.
In questi casi, a quanto pare, invece dell'operatore ATM che raccoglie i fondi mal indirizzati in modo che possano essere successivamente rimborsati o reindirizzati correttamente...
...i fondi andrebbero direttamente e irreversibilmente agli attaccanti.
General Bytes non ha detto in che modo questo difetto è venuto alla sua attenzione, anche se immaginiamo che qualsiasi operatore ATM di fronte a una chiamata di supporto per una transazione fallita si accorgerebbe rapidamente che le impostazioni del servizio erano state manomesse e darebbe l'allarme.
Indicatori di compromesso
Gli aggressori, a quanto pare, hanno lasciato vari segni rivelatori della loro attività, tanto che il generale Bytes è stato in grado di identificare numerosi cosiddetti Indicatori di compromesso (IoC) per aiutare i propri utenti a identificare le configurazioni CAS violate.
(Ricorda, ovviamente, che l'assenza di IoC non garantisce l'assenza di attaccanti, ma gli IoC noti sono un punto di partenza utile quando si tratta di rilevamento e risposta alle minacce.)
Fortunatamente, forse a causa del fatto che questo exploit si basava su pagamenti non validi, piuttosto che consentire agli aggressori di drenare direttamente gli sportelli automatici, le perdite finanziarie complessive in questo incidente non si imbattono in multimilionario importi spesso associato con errori di criptovaluta.
Il generale Bytes ha affermato ieri [2022-08-22] che il “[i]l'incidente è stato segnalato alla polizia ceca. Il danno totale causato agli operatori ATM in base al loro feedback è di 16,000 dollari USA".
La società ha inoltre disattivato automaticamente tutti gli sportelli automatici che gestiva per conto dei propri clienti, richiedendo così a tali clienti di accedere e rivedere le proprie impostazioni prima di riattivare i propri dispositivi ATM.
Cosa fare?
General Bytes ha elencato un Processo in 11 fasi che i suoi clienti devono seguire per porre rimedio a questo problema, tra cui:
- patching il server CAS.
- Revisione delle impostazioni del firewall per limitare l'accesso al minor numero possibile di utenti della rete.
- Disattivazione dei terminali ATM in modo che il server possa essere richiamato per la revisione.
- Revisione di tutte le impostazioni, inclusi eventuali terminali fasulli che potrebbero essere stati aggiunti.
- Riattivare i terminali solo dopo aver completato tutti i passaggi di ricerca delle minacce.
Questo attacco, tra l'altro, è un forte promemoria del perché la risposta alle minacce contemporanee non si tratta semplicemente di riparare i buchi e rimuovere il malware.
In questo caso, i criminali non hanno impiantato alcun malware: l'attacco è stato orchestrato semplicemente attraverso modifiche malevole della configurazione, lasciando intatti il sistema operativo sottostante e il software del server.
Non abbastanza tempo o personale?
Scopri Rilevamento e risposta gestiti da Sophos:
Ricerca, rilevamento e risposta alle minacce 24 ore su 7, XNUMX giorni su XNUMX ▶
Immagine in primo piano di Bitcoin immaginati tramite Licenza Unsplash.
- ATM
- blockchain
- BTC
- geniale
- crypto
- criptovaluta
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Generali byte
- Kaspersky
- il malware
- Mcafee
- Sicurezza nuda
- NextBLOC
- ritiro fantasma
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- vulnerabilità
- sicurezza del sito Web
- zefiro
![S3 Ep 126: Il prezzo del fast fashion (e funzionalità creep) [Audio + Testo]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-300x156.png "S3 Ep 126: Il prezzo del fast fashion (e funzionalità creep) [Audio + Testo]")
