Bitcoin-minibanker bleilet av angripere som opprettet falske administratorkontoer

Du ville ikke vite det fra å besøke selskapets hovednettsted, men General Bytes, et tsjekkisk selskap som selger Bitcoin-minibanker, er oppfordrer sine brukere til oppdatering av en kritisk feil som tar penger i serverprogramvaren.

Selskapet hevder verdensomspennende salg av mer enn 13,000 5000 minibanker, som selges for $XNUMX og oppover, avhengig av funksjoner og utseende.

Ikke alle land har tatt godt imot kryptovaluta-minibanker – den britiske regulatoren, for eksempel, advart i mars 2022 at ingen av minibankene som opererer i landet på den tiden var offisielt registrert, og sa at det ville være det "kontakte operatørene og instruere om at maskinene skal stenges".

Vi gikk for å sjekke vår lokale krypto-minibank på den tiden, og fant at den viste en "Terminal offline"-melding. (Enheten har siden blitt fjernet fra kjøpesenteret der den ble installert.)

Likevel sier General Bytes at de betjener kunder i mer enn 140 land, og dets globale kart over minibankplasseringer viser tilstedeværelse på alle kontinenter bortsett fra Antarktis.

Sikkerhetshendelse rapportert

I følge General Bytes produktkunnskapsbase, en "sikkerhetshendelse" på et alvorlighetsnivå på Høyeste var oppdaget forrige uke.

Med selskapets egne ord:

Angriperen var i stand til å opprette en admin-bruker eksternt via CAS-administrativt grensesnitt via et URL-kall på siden som brukes til standardinstallasjonen på serveren og opprette den første administrasjonsbrukeren.

Så vidt vi kan fortelle, CAS er en forkortelse for Mynt ATM-server, og hver operatør av General Bytes kryptovaluta-minibanker trenger en av disse.

Du kan hoste ditt CAS hvor som helst du vil, ser det ut til, inkludert på din egen maskinvare i ditt eget serverrom, men General Bytes har en spesialavtale med vertsselskapet Digital Ocean for en rimelig skyløsning. (Du kan også la General Bytes kjøre serveren for deg i skyen mot 0.5 % kutt i alle kontanttransaksjoner.)

I følge hendelsesrapporten utførte angriperne en portskanning av Digital Oceans skytjenester, på jakt etter lyttende webtjenester (porter 7777 eller 443) som identifiserte dem som General Bytes CAS-servere, for å finne en liste over potensielle ofre.

Vær oppmerksom på at sårbarheten som ble utnyttet her, ikke var knyttet til Digital Ocean eller begrenset til skybaserte CAS-forekomster. Vi tipper at angriperne ganske enkelt bestemte at Digital Ocean var et bra sted å begynne å lete. Husk at med en svært høyhastighets internettforbindelse (f.eks. 10 Gbit/sek), og ved å bruke fritt tilgjengelig programvare, kan bestemte angripere nå skanne hele IPv4-nettadresseområdet på timer, eller til og med minutter. Det er slik offentlige sårbarhetssøkemotorer som Shodan og Censys fungerer, som kontinuerlig tråler internett for å finne ut hvilke servere og hvilke versjoner som for øyeblikket er aktive på hvilke nettsteder.

Tilsynelatende tillot en sårbarhet i selve CAS angriperne å manipulere innstillingene til offerets kryptovalutatjenester, inkludert:

• Legger til en ny bruker med administrative rettigheter.
• Bruker denne nye administratorkontoen for å rekonfigurere eksisterende minibanker.
• Viderekoble alle ugyldige betalinger til en egen lommebok.

Så vidt vi kan se betyr dette at angrepene som ble utført var begrenset til overføringer eller uttak der kunden gjorde en feil.

I slike tilfeller ser det ut til at i stedet for at minibankoperatøren samler inn de feilstyrte midlene slik at de senere kan bli refundert eller omdirigert på riktig måte...

…midlene ville gå direkte og irreversibelt til angriperne.

General Bytes sa ikke hvordan denne feilen kom til dens oppmerksomhet, selv om vi forestiller oss at enhver minibankoperatør som ble møtt med et støtteanrop om en mislykket transaksjon raskt ville legge merke til at tjenesteinnstillingene deres hadde blitt tuklet med, og slå alarm.

Indikatorer for kompromiss

Angriperne, så det ut til, etterlot seg forskjellige tegn på aktiviteten deres, slik at General Bytes kunne identifisere en rekke s.k. Indikatorer for kompromiss (IoCs) for å hjelpe brukerne deres med å identifisere hackede CAS-konfigurasjoner.

(Husk selvfølgelig at fraværet av IoCer ikke garanterer fravær av noen angripere, men kjente IoCer er et praktisk sted å starte når det gjelder trusseldeteksjon og respons.)

Heldigvis, kanskje på grunn av det faktum at denne utnyttelsen var avhengig av ugyldige betalinger, i stedet for å la angriperne tømme minibanker direkte, vil de totale økonomiske tapene i denne hendelsen ikke løpe inn i flere millioner dollar beløp ofte assosiert med kryptovaluta-tabber.

General Bytes hevdet i går [2022-08-22] at «Hendelsen ble rapportert til tsjekkisk politi. Total skade påført minibankoperatører basert på tilbakemeldingene deres er USD 16,000 XNUMX.»

Selskapet deaktiverte også automatisk alle minibanker som det administrerte på vegne av kundene sine, og krever dermed at disse kundene logger på og ser gjennom sine egne innstillinger før de aktiverer minibankenhetene sine på nytt.

Hva gjør jeg?

General Bytes har listet opp en 11-trinns prosess som kundene må følge for å løse dette problemet, inkludert:

• patching CAS-serveren.
• Gjennomgå brannmurinnstillinger å begrense tilgangen til så få nettverksbrukere som mulig.
• Deaktivering av minibankterminaler slik at serveren kan tas opp igjen for gjennomgang.
• Gjennomgår alle innstillinger, inkludert eventuelle falske terminaler som kan ha blitt lagt til.
• Reaktivering av terminaler først etter å ha fullført alle trusseljaktstrinn.

Dette angrepet er forresten en sterk påminnelse om hvorfor moderne trusselrespons handler ikke bare om å lappe hull og fjerne skadelig programvare.

I dette tilfellet implanterte ikke kriminelle noe skadelig programvare: Angrepet ble orkestrert ganske enkelt gjennom ondsinnede konfigurasjonsendringer, med det underliggende operativsystemet og serverprogramvaren urørt.

Ikke nok tid eller personale?
Lær mer om Sophos Managed Detection and Response:
24/7 trusseljakt, deteksjon og respons  ▶

---

Utvalgt bilde av forestilte Bitcoins via Unsplash-lisens.