회사의 주요 웹사이트를 방문하면 알 수 없지만 Bitcoin ATM을 판매하는 체코 회사인 General Bytes는 사용자에게 촉구 에 중요한 돈을 빼는 버그 패치 서버 소프트웨어에서.
이 회사는 기능과 모양에 따라 13,000달러 이상에 소매되는 5000개 이상의 ATM을 전 세계적으로 판매하고 있다고 주장합니다.
모든 국가가 암호화폐 ATM을 친절하게 받아들이는 것은 아닙니다. 예를 들어, 영국 규제 기관은 다음과 같습니다. 2022년 XNUMX월 경고 당시 국내에서 운영 중인 ATM 중 공식적으로 등록된 ATM은 없다고 밝혔습니다. "기계 작동 중단을 지시하는 작업자에게 연락".
우리는 당시 우리 지역의 암호화폐 ATM을 확인하러 갔고 "터미널 오프라인" 메시지를 표시하는 것을 발견했습니다. (그 이후에 장치는 설치된 쇼핑 센터에서 제거되었습니다.)
그럼에도 불구하고 General Bytes는 140개 이상의 국가에서 고객에게 서비스를 제공하고 있으며 ATM 위치의 글로벌 지도는 남극 대륙을 제외한 모든 대륙에 존재함을 보여줍니다.
보안 사고 보고됨
General Bytes 제품 지식 베이스에 따르면 심각도 수준의 "보안 사고"는 최고 였다 지난주에 발견.
회사 자체의 말:
공격자는 서버의 기본 설치 및 첫 번째 관리 사용자 생성에 사용되는 페이지의 URL 호출을 통해 CAS 관리 인터페이스를 통해 원격으로 관리자 사용자를 생성할 수 있었습니다.
우리가 알 수있는 한 CAS 에 대한 짧은 코인 ATM 서버, 그리고 General Bytes 암호화폐 ATM의 모든 운영자는 이 중 하나가 필요합니다.
자신의 서버실에 있는 자체 하드웨어를 포함하여 원하는 곳 어디에서나 CAS를 호스팅할 수 있지만 General Bytes는 저렴한 클라우드 솔루션을 위해 호스팅 회사인 Digital Ocean과 특별한 거래를 하고 있습니다. (또한 모든 현금 거래의 0.5%를 줄이는 대가로 General Bytes가 클라우드에서 서버를 실행하도록 할 수 있습니다.)
사건 보고서에 따르면 공격자는 잠재적 희생자 목록을 찾기 위해 자신을 General Bytes CAS 서버로 식별하는 수신 웹 서비스(포트 7777 또는 443)를 찾고 Digital Ocean의 클라우드 서비스에 대한 포트 스캔을 수행했습니다.
여기에서 악용된 취약점은 Digital Ocean에 국한되지 않았거나 클라우드 기반 CAS 인스턴스에 국한되지 않았습니다. 우리는 공격자들이 단순히 Digital Ocean이 조사를 시작하기에 좋은 곳이라고 결정했다고 추측하고 있습니다. 초고속 인터넷 연결(예: 10Gbit/sec)과 무료로 사용 가능한 소프트웨어를 사용하여 결정된 공격자는 이제 몇 시간 또는 몇 분 안에 전체 IPv4 인터넷 주소 공간을 스캔할 수 있습니다. 이것이 바로 Shodan 및 Censys와 같은 공개 취약성 검색 엔진이 작동하는 방식으로 인터넷을 지속적으로 탐색하여 현재 어떤 온라인 위치에서 어떤 서버와 어떤 버전이 활성화되어 있는지 알아냅니다.
분명히 CAS 자체의 취약점으로 인해 공격자는 다음을 포함하여 피해자의 암호화폐 서비스 설정을 조작할 수 있었습니다.
- 새 사용자 추가 관리 권한이 있습니다.
- 이 새 관리자 계정 사용 기존 ATM을 재구성합니다.
- 모든 유효하지 않은 지불을 전용 자신의 지갑에.
우리가 볼 수 있는 한, 이것은 수행된 공격이 고객이 실수한 송금 또는 인출로 제한되었음을 의미합니다.
이러한 경우 ATM 운영자가 잘못된 자금을 수집하는 대신 나중에 상환되거나 올바르게 리디렉션될 수 있도록 하는 것 같습니다.
… 자금은 공격자에게 직접적이고 되돌릴 수 없게 갈 것입니다.
General Bytes는 이 결함이 어떻게 주목을 받게 되었는지 말하지 않았지만 실패한 거래에 대한 지원 호출에 직면한 ATM 운영자는 서비스 설정이 변경되었음을 신속하게 알아차리고 경보를 울릴 것이라고 생각합니다.
타협의 지표
공격자들은 그들의 활동에 대한 다양한 흔적을 남기고 General Bytes가 수많은 소위 말하는 것을 식별할 수 있었던 것 같습니다. 타협의 지표 (IoC)는 사용자가 해킹된 CAS 구성을 식별하는 데 도움이 됩니다.
(물론 IoC가 없다고 해서 공격자가 없다고 보장할 수는 없지만 알려진 IoC는 위협 탐지 및 대응과 관련하여 시작하기에 편리한 위치입니다.)
다행스럽게도 이 익스플로잇이 공격자가 ATM을 직접 소모하도록 허용하지 않고 유효하지 않은 지불에 의존했기 때문에 이 사건의 전반적인 재정적 손실은 수백만 달러 금액 자주 관련된 과 암호화폐 실수.
General Bytes는 어제 [2022-08-22] 주장했습니다. “체코 경찰에 사건이 보고되었습니다. ATM 운영자의 피드백에 따른 총 피해액은 미화 16,000달러입니다.”
회사는 또한 고객을 대신하여 관리하고 있던 모든 ATM을 자동으로 비활성화하여 해당 고객이 ATM 장치를 다시 활성화하기 전에 로그인하고 자신의 설정을 검토하도록 요구했습니다.
무엇을해야 하는가?
General Bytes는 다음을 나열했습니다. 11 단계 프로세스 다음을 포함하여 이 문제를 해결하기 위해 고객이 따라야 하는 사항:
- 패치 CAS 서버.
- 방화벽 설정 검토 가능한 한 적은 수의 네트워크 사용자에게 액세스를 제한합니다.
- ATM 단말기 비활성화 검토를 위해 서버를 다시 불러올 수 있습니다.
- 모든 설정 검토, 추가되었을 수 있는 모든 가짜 터미널을 포함합니다.
- 터미널 재활성화 모든 위협 사냥 단계를 완료한 후에만.
그런데 이 공격은 왜 현대 위협 대응이 단순히 구멍을 패치하고 맬웨어를 제거하는 것이 아닙니다..
이 경우 범죄자는 맬웨어를 삽입하지 않았습니다. 기본 운영 체제와 서버 소프트웨어는 그대로 둔 채 악의적인 구성 변경을 통해 공격이 오케스트레이션되었습니다.
시간이나 직원이 충분하지 않습니까?
전단지에 포함된 링크에 대해 더 알아보기 Sophos 관리형 탐지 및 대응:
연중무휴 24시간 위협 사냥, 탐지 및 대응 ▶
상상한 비트코인의 추천 이미지 언스플래쉬 라이선스.
![S3 Ep 126: 패스트 패션의 가격(및 피처 크립) [Audio + Text]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-300x156.png "S3 Ep 126: 패스트 패션의 가격(및 피처 크립) [Audio + Text]")
