偽の管理者アカウントを作成した攻撃者によって盗まれたビットコイン ATM

同社のメイン Web サイトにアクセスしただけではわかりませんが、ビットコイン ATM を販売するチェコの General Bytes 社は、 ユーザーに促す 〜へ お金を浪費する重大なバグにパッチを当てる そのサーバーソフトウェアで。

同社によれば、世界中で 13,000 台以上の ATM が販売されており、機能や外観にもよりますが、小売価格は 5000 ドル以上です。

すべての国が暗号通貨の ATM に親切に対応しているわけではありません。たとえば、英国の規制当局は、 2022 年 XNUMX 月に警告 当時、国内で稼働していたATMは正式に登録されていなかった。 「オペレーターに連絡して、マシンをシャットダウンするように指示します」.

当時、ローカルの暗号化 ATM を確認したところ、「Terminal offline」というメッセージが表示されていました。 （その後、設置されていたショッピングセンターから撤去されました。）

それにもかかわらず、General Bytes は 140 か国以上の顧客にサービスを提供していると述べており、ATM の場所のグローバル マップは、南極大陸を除くすべての大陸に存在していることを示しています。

セキュリティインシデントが報告されました

General Bytes 製品ナレッジベースによると、重大度レベルの「セキュリティ インシデント」 最高 ました 先週発見.

同社自身の言葉で：

攻撃者は、サーバーへのデフォルトのインストールと最初の管理ユーザーの作成に使用されるページの URL 呼び出しを介して、CAS 管理インターフェイスを介してリモートで管理ユーザーを作成することができました。

私たちが知る限り、 CAS 略です コインATMサーバー、および General Bytes 暗号通貨 ATM のすべてのオペレーターには、これらのいずれかが必要です。

CAS は、自分のサーバー ルームのハードウェアを含め、好きな場所でホストできるようですが、General Bytes はホスティング会社の Digital Ocean と低コストのクラウド ソリューションについて特別な契約を結んでいます。 (すべての現金取引の 0.5% カットと引き換えに、General Bytes にクラウドでサーバーを実行させることもできます。)

インシデント レポートによると、攻撃者は Digital Ocean のクラウド サービスのポート スキャンを実行し、潜在的な被害者のリストを見つけるために、自身を General Bytes CAS サーバーとして識別したリスニング Web サービス (ポート 7777 または 443) を探しました。

ここで悪用された脆弱性は、Digital Ocean にまで及ぶものでも、クラウドベースの CAS インスタンスに限定されたものでもないことに注意してください。 攻撃者は、デジタル オーシャンが探し始めるのに適した場所であると単純に判断したと推測されます。 非常に高速なインターネット接続 (例: 10Gbit/秒) と無料で入手できるソフトウェアを使用すると、攻撃者は IPv4 インターネット アドレス空間全体を数時間または数分でスキャンできることを思い出してください。 これが、Shodan や Censys などの公開脆弱性検索エンジンの仕組みであり、インターネットを絶えず調べて、どのサーバーとどのバージョンが現在どのオンライン ロケーションでアクティブであるかを検出します。

どうやら、CAS自体の脆弱性により、攻撃者は被害者の暗号通貨サービスの設定を操作することができました。

• 新しいユーザーの追加 管理者権限を持つ。
• この新しい管理者アカウントの使用 既存の ATM を再構成します。
• すべての無効な支払いの転用 自分だけの財布に。

これは、私たちが見る限り、実行された攻撃は、顧客が誤った送金または引き出しに限定されていたことを意味します。

このような場合、ATM オペレーターが誤って振り向けられた資金を回収する代わりに、後で払い戻されるか、正しく振り向けられるように思われます…

…資金は攻撃者に直接かつ不可逆的に送られます。

General Bytes は、この欠陥がどのように注目されるようになったかについては述べていませんが、トランザクションの失敗に関するサポート コールに直面した ATM オペレーターは、サービス設定が改ざんされていることにすぐに気付き、警告を発するのではないかと考えています。

侵害の兆候

攻撃者は、活動を示すさまざまな兆候を残していたようで、General Bytes は多数のいわゆる 侵害の兆候 (IoC) を使用して、ユーザーがハッキングされた CAS 構成を特定できるようにします。

(もちろん、IoC が存在しないからといって攻撃者が存在しないとは限りませんが、脅威の検出と対応に関しては、既知の IoC から始めるのが便利です。)

幸いなことに、攻撃者が直接 ATM からお金を引き出すのではなく、このエクスプロイトが無効な支払いに依存していたという事実のためか、このインシデントによる全体的な金銭的損失は、 数百万ドル 金額 関連付けられることが多い 　 暗号通貨の失敗.

General Bytes は昨日 [2022 年 08 月 22 日]、 「事件はチェコ警察に報告されました。 フィードバックに基づいて ATM オペレーターに与えられた損害の合計は、16,000 米ドルです。」

同社はまた、顧客に代わって管理していた ATM を自動的に非アクティブ化したため、ATM デバイスを再アクティブ化する前に、顧客がログインして自分の設定を確認する必要がありました。

何をするか？

General Bytes は 11-stepプロセス この問題を修正するために顧客が従う必要がある内容には、次のようなものがあります。

• 補修 CAS サーバー。
• ファイアウォール設定の見直し アクセスを可能な限り少数のネットワーク ユーザーに制限します。
• ATM端末の無効化 レビューのためにサーバーを再び起動できるようにします。
• すべての設定の見直しこれには、追加された可能性のある偽の端末も含まれます。
• 端末の再アクティブ化 すべての脅威ハンティング手順を完了した後でのみ。

ところで、この攻撃は、現代の脅威への対応の理由を強く思い起こさせます。 単にホールにパッチを当ててマルウェアを削除するだけではありません.

この場合、犯罪者はマルウェアを埋め込んでいません。攻撃は、悪意のある構成変更によって単純に調整され、基盤となるオペレーティング システムとサーバー ソフトウェアはそのまま残されていました。

時間やスタッフが足りない？
詳細については、こちらから ソフォスが管理する検出と対応:
24時間年中無休の脅威のハンティング、検出、および対応  ▶

---

想像上のビットコインの主な画像 スプラッシュ解除ライセンス.