Je zou het niet weten als je de hoofdwebsite van het bedrijf bezoekt, maar General Bytes, een Tsjechisch bedrijf dat Bitcoin-geldautomaten verkoopt, is haar gebruikers aansporen naar patch een kritieke geldverslindende bug in zijn serversoftware.
Het bedrijf claimt een wereldwijde verkoop van meer dan 13,000 geldautomaten, die voor $ 5000 en meer worden verkocht, afhankelijk van de functies en het uiterlijk.
Niet alle landen zijn vriendelijk geweest voor geldautomaten met cryptocurrency - de Britse regelgever, bijvoorbeeld, gewaarschuwd in maart 2022 dat geen van de geldautomaten die op dat moment in het land actief waren officieel geregistreerd was, en zei dat het zou gebeuren “contact opnemen met de operators die opdracht geven de machines stil te leggen”.
We gingen op dat moment naar onze lokale crypto-geldautomaat en ontdekten dat er een bericht 'Terminal offline' werd weergegeven. (Het apparaat is inmiddels verwijderd uit het winkelcentrum waar het was geïnstalleerd.)
Niettemin zegt General Bytes dat het klanten bedient in meer dan 140 landen, en de wereldwijde kaart van ATM-locaties toont een aanwezigheid op elk continent behalve Antarctica.
Beveiligingsincident gemeld
Volgens de productkennisbank van General Bytes is een "beveiligingsincident" met een ernstniveau van Hoogst was vorige week ontdekt.
In de eigen woorden van het bedrijf:
De aanvaller kon op afstand een admin-gebruiker maken via de CAS-beheerinterface via een URL-aanroep op de pagina die wordt gebruikt voor de standaardinstallatie op de server en het creëren van de eerste beheerdersgebruiker.
Voor zover we kunnen nagaan, CAS is een afkorting voor Munt ATM-server, en elke exploitant van General Bytes-geldautomaten voor cryptocurrency heeft er een nodig.
Je kunt je CAS overal hosten, zo lijkt het, ook op je eigen hardware in je eigen serverruimte, maar General Bytes heeft een speciale deal met hostingbedrijf Digital Ocean voor een goedkope cloudoplossing. (Je kunt General Bytes ook de server voor je laten draaien in de cloud in ruil voor 0.5% korting op alle contante transacties.)
Volgens het incidentrapport voerden de aanvallers een poortscan uit van de cloudservices van Digital Ocean, op zoek naar luisterende webservices (poorten 7777 of 443) die zichzelf identificeerden als General Bytes CAS-servers, om een lijst met potentiële slachtoffers te vinden.
Merk op dat de kwetsbaarheid die hier werd misbruikt niet te wijten was aan Digital Ocean of beperkt was tot cloudgebaseerde CAS-instanties. We vermoeden dat de aanvallers eenvoudigweg besloten dat Digital Ocean een goede plek was om te beginnen met zoeken. Onthoud dat met een zeer snelle internetverbinding (bijv. 10 Gbit/sec) en met behulp van vrij beschikbare software, vastberaden aanvallers nu de volledige IPv4-internetadresruimte in uren of zelfs minuten kunnen scannen. Dat is hoe openbare kwetsbaarheidszoekmachines zoals Shodan en Censys werken, die voortdurend het internet afspeuren om te ontdekken welke servers en welke versies momenteel actief zijn op welke online locaties.
Blijkbaar stelde een kwetsbaarheid in de CAS zelf de aanvallers in staat om de instellingen van de cryptocurrency-services van het slachtoffer te manipuleren, waaronder:
- Een nieuwe gebruiker toevoegen met beheerdersrechten.
- Dit nieuwe beheerdersaccount gebruiken om bestaande geldautomaten te herconfigureren.
- Alle ongeldige betalingen omleiden naar een eigen portemonnee.
Voor zover we kunnen zien, betekent dit dat de uitgevoerde aanvallen beperkt waren tot overschrijvingen of opnames waarbij de klant een fout heeft gemaakt.
In dergelijke gevallen lijkt het erop dat in plaats van dat de ATM-operator de verkeerd geadresseerde fondsen verzamelt, zodat ze vervolgens kunnen worden terugbetaald of correct kunnen worden doorgestuurd ...
…de fondsen zouden direct en onomkeerbaar naar de aanvallers gaan.
General Bytes zei niet hoe deze fout onder zijn aandacht kwam, hoewel we denken dat elke ATM-operator die wordt geconfronteerd met een ondersteuningsoproep over een mislukte transactie, snel zou merken dat er met zijn service-instellingen was geknoeid en alarm zou slaan.
Indicatoren van compromis
Het leek erop dat de aanvallers verschillende tekenen van hun activiteit achterlieten, zodat generaal Bytes talrijke zogenaamde Indicatoren van compromis (IoC's) om hun gebruikers te helpen bij het identificeren van gehackte CAS-configuraties.
(Onthoud natuurlijk dat de afwezigheid van IoC's niet de afwezigheid van aanvallers garandeert, maar bekende IoC's zijn een handige plek om te beginnen als het gaat om detectie en reactie van bedreigingen.)
Gelukkig, misschien vanwege het feit dat deze exploit afhankelijk was van ongeldige betalingen, in plaats van de aanvallers toe te staan geldautomaten direct leeg te laten lopen, lopen de algehele financiële verliezen bij dit incident niet in de miljoenen dollars hoeveelheden vaak geassocieerd Met blunders in cryptovaluta.
General Bytes beweerde gisteren [2022-08-22] dat de “[i]ncident werd gemeld aan de Tsjechische politie. De totale schade die is veroorzaakt aan ATM-operators op basis van hun feedback is US $ 16,000. ”
Het bedrijf deactiveerde ook automatisch alle geldautomaten die het namens zijn klanten beheerde, waardoor die klanten moesten inloggen en hun eigen instellingen moesten bekijken voordat ze hun geldautomaten opnieuw activeerden.
Wat te doen?
General Bytes heeft een 11-stap proces die zijn klanten moeten volgen om dit probleem op te lossen, waaronder:
- patchen de CAS-server.
- Firewall-instellingen controleren om de toegang tot zo min mogelijk netwerkgebruikers te beperken.
- ATM-terminals deactiveren zodat de server weer ter beoordeling kan worden opgeroepen.
- Alle instellingen bekijken, inclusief eventuele nep-terminals die mogelijk zijn toegevoegd.
- Terminals opnieuw activeren pas na het voltooien van alle stappen voor het opsporen van bedreigingen.
Deze aanval is trouwens een sterke herinnering aan waarom de hedendaagse reactie op bedreigingen gaat niet alleen over het dichten van gaten en het verwijderen van malware.
In dit geval hebben de criminelen geen malware geïmplanteerd: de aanval werd eenvoudig georkestreerd door kwaadaardige configuratiewijzigingen, waarbij het onderliggende besturingssysteem en de serversoftware onaangeroerd bleven.
Niet genoeg tijd of personeel?
Lees verder over Door Sophos beheerde detectie en respons:
24/7 jacht op bedreigingen, detectie en reactie ▶
Uitgelichte afbeelding van ingebeelde Bitcoins via Unsplash-licentie.
- geldautomaat
- blockchain
- BTC
- vindingrijk
- crypto
- cryptogeld
- cryptocurrency wallets
- cryptoexchange
- internetveiligheid
- cybercriminelen
- Cybersecurity
- Department of Homeland Security
- digitale portefeuilles
- firewall
- Algemene bytes
- Kaspersky
- malware
- Mcafee
- Naakte beveiliging
- NexBLOC
- fantoom terugtrekking
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- VPN
- kwetsbaarheid
- website veiligheid
- zephyrnet
![S3 Aflevering 126: De prijs van fast fashion (en feature creep) [Audio + tekst]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-300x156.png "S3 Aflevering 126: De prijs van fast fashion (en feature creep) [Audio + tekst]")
