כספומטים של ביטקוין שהועלו על ידי תוקפים שיצרו חשבונות ניהול מזויפים

לא היית יודע את זה מביקור באתר הראשי של החברה, אבל General Bytes, חברה צ'כית שמוכרת כספומטים של ביטקוין, היא דוחקת במשתמשים שלה ל תיקון באג קריטי שגוזל כסף בתוכנת השרת שלו.

החברה טוענת למכירות ברחבי העולם של יותר מ-13,000 כספומטים, הנמכרים במחיר של 5000 דולר ומעלה, בהתאם לתכונות ולמראה.

לא כל המדינות התייחסו בחביבות לכספומטים של מטבעות קריפטוגרפיים - הרגולטור בבריטניה, למשל, הוזהר במרץ 2022 שאף אחד מהכספומטים שפעלו אז בארץ לא היה רשום רשמית, ואמרו שכך יהיה "יצירת קשר עם המפעילים בהנחיית כיבוי המכונות".

הלכנו לבדוק את כספומט הקריפטו המקומי שלנו באותו זמן, ומצאנו שהוא מציג הודעת "טרמינל לא מקוון". (המכשיר הוסר מאז ממרכז הקניות שבו הותקן.)

עם זאת, General Bytes אומר שהיא משרתת לקוחות ביותר מ-140 מדינות, והמפה הגלובלית שלה של מיקומי כספומט מראה נוכחות בכל יבשת מלבד אנטארקטיקה.

אירוע ביטחוני דווח

על פי מאגר הידע של מוצרי General Bytes, "אירוע אבטחה" ברמת חומרה של הגבוה ביותר היה התגלה בשבוע שעבר.

במילותיה של החברה עצמה:

התוקף הצליח ליצור משתמש אדמין מרחוק באמצעות ממשק ניהול CAS באמצעות קריאת URL בעמוד המשמשת להתקנת ברירת המחדל בשרת וליצירת משתמש הניהול הראשון.

ככל שנוכל לדעת, CAS הוא קיצור של שרת כספומט מטבעות, וכל מפעיל של כספומטים של מטבעות קריפטוגרפיים General Bytes צריך אחד כזה.

אתה יכול לארח את ה-CAS שלך בכל מקום שתרצה, כך נראה, כולל בחומרה משלך בחדר השרתים שלך, אבל ל-General Bytes יש הסכם מיוחד עם חברת האירוח Digital Ocean לפתרון ענן בעלות נמוכה. (אתה יכול גם לתת ל-General Bytes להפעיל עבורך את השרת בענן בתמורה לקיצוץ של 0.5% מכל העסקאות במזומן.)

על פי דיווח התקרית, התוקפים ביצעו סריקת יציאות של שירותי הענן של Digital Ocean, בחיפוש אחר שירותי אינטרנט מאזינים (יציאות 7777 או 443) אשר זיהו אותם כשרתי General Bytes CAS, על מנת למצוא רשימה של קורבנות פוטנציאליים.

שים לב שהפגיעות שניצלה כאן לא נבעה מ-Digital Ocean או מוגבלת למופעי CAS מבוססי ענן. אנחנו מנחשים שהתוקפים פשוט החליטו שדיגיטל אושן הוא מקום טוב להתחיל בו לחפש. זכור שעם חיבור אינטרנט מהיר מאוד (למשל 10Gbit/sec), ושימוש בתוכנה זמינה באופן חופשי, תוקפים נחושים יכולים כעת לסרוק את כל מרחב כתובות האינטרנט של IPv4 תוך שעות, ואפילו דקות. כך פועלים מנועי חיפוש של פגיעות ציבוריות כמו Shodan ו-Censys, סורקים ללא הרף את האינטרנט כדי לגלות אילו שרתים, ואיזה גרסאות, פעילים כעת באילו מיקומים מקוונים.

ככל הנראה, פגיעות ב-CAS עצמה אפשרה לתוקפים לתפעל את ההגדרות של שירותי המטבעות הקריפטו של הקורבן, כולל:

• הוספת משתמש חדש עם הרשאות ניהול.
• משתמש בחשבון הניהול החדש הזה כדי להגדיר מחדש כספומטים קיימים.
• הפניית כל התשלומים הלא חוקיים לארנק משלהם.

ככל שאנו יכולים לראות, המשמעות היא שההתקפות שבוצעו הוגבלו להעברות או למשיכות שבהן הלקוח עשה טעות.

במקרים כאלה, כך נראה, במקום שמפעיל הכספומט יאסוף את הכספים המופנים שגויים כדי שיוכלו לאחר מכן לקבל החזר או ניתוב נכון...

...הכספים יעברו ישירות ובלתי הפיך לתוקפים.

General Bytes לא אמר כיצד הפגם הזה הגיע לידיעתו, אם כי אנו מתארים לעצמנו שכל מפעיל כספומט שעומד בפני קריאת תמיכה על עסקה שנכשלה ישים לב במהירות שהגדרות השירות שלהם טופלו, ויפעיל את האזעקה.

אינדיקטורים לפשרה

התוקפים, כך נראה, השאירו אחריהם סימנים מעידים שונים על פעילותם, כך שגנרל בייטס הצליח לזהות מספר רב של מה שנקרא. אינדיקטורים לפשרה (IoCs) כדי לעזור למשתמשים שלהם לזהות תצורות CAS שנפרצו.

(זכור, כמובן, שהיעדר IoCs אינו מבטיח היעדרות של תוקפים כלשהם, אך IoCs ידועים הם מקום שימושי להתחיל בו בכל הנוגע לזיהוי ותגובה של איומים.)

למרבה המזל, אולי בגלל העובדה שהניצול הזה נשען על תשלומים לא חוקיים, במקום לאפשר לתוקפים לרוקן כספומטים ישירות, ההפסדים הכספיים הכוללים באירוע הזה לא יתקלו ב מיליוני דולרים כמויות קשורים לעתים קרובות עם טעויות של מטבעות קריפטוגרפיים.

General Bytes טען אתמול [2022-08-22] כי "האירוע דווח למשטרת צ'כיה. סך הנזק שנגרם למפעילי כספומטים בהתבסס על המשוב שלהם הוא 16,000 דולר ארה"ב".

החברה גם השביתה אוטומטית את כל הכספומטים שהיא ניהלה בשם לקוחותיה, ובכך דרשה מהלקוחות להתחבר ולבדוק את ההגדרות שלהם לפני שהם יפעילו מחדש את מכשירי הכספומטים שלהם.

מה לעשות?

General Bytes רשום an תהליך בן 11 שלבים שלקוחותיה צריכים לעקוב אחריהם כדי לתקן בעיה זו, כולל:

• תיקון שרת CAS.
• סקירת הגדרות חומת האש להגביל את הגישה לכמה שפחות משתמשי רשת.
• נטרול מסופי כספומט כדי שניתן יהיה להעלות את השרת שוב לבדיקה.
• סקירת כל ההגדרות, כולל מסופים מזויפים שייתכן שנוספו.
• הפעלה מחדש של מסופים רק לאחר השלמת כל שלבי ציד האיומים.

המתקפה הזו, אגב, היא תזכורת חזקה למה תגובת האיום העכשווית זה לא רק על תיקון חורים והסרת תוכנות זדוניות.

במקרה זה, הפושעים לא השתילו תוכנות זדוניות כלשהן: המתקפה בוצעה פשוט באמצעות שינויים תצורה זדוניים, כאשר מערכת ההפעלה הבסיסית ותוכנת השרת נותרו ללא נגיעה.

אין מספיק זמן או צוות?
למידע נוסף בנושא Sophos Managed Detection and Response:
ציד, איתור ותגובה של איומים 24/7  ▶

---

תמונה מוצגת של ביטקוין מדומיינים באמצעות רישיון Unsplash.