Klienci Bitcoin ATM zhakowani przez przesłanie wideo, które w rzeczywistości było aplikacją

W historii systemu operacyjnego jest wiele wojskowych kalamburów.

Unix słynie z całej tratwy personelu znanego jako Numer główny, którzy organizują bataliony urządzeń, takich jak dyski, klawiatury i kamery internetowe w Twoim systemie.

Microsoft zmagał się kiedyś z pozornie niekompetentnymi Ogólna awaria, który był regularnie przyłapany na próbie odczytania dysków DOS i niepowodzeniu.

Linux ma sporadycznie problemy z Pułkownik Panika, którego wygląd zazwyczaj następuje utrata danych, potencjalnie uszkodzone systemy plików oraz pilna potrzeba wyłączenia zasilania i ponownego uruchomienia komputera.

Wydaje się, że czeska firma zajmująca się kryptowalutami nie cieszy się taką niezawodnością, jakiej można by się spodziewać po osobie o imieniu Ogólne bajty.

Tak właściwie, Ogólne bajty to nazwa samej firmy, która niestety nie jest obca niechcianym włamaniom i nieautoryzowanemu dostępowi do funduszy kryptowalutowych.

Raz to nieszczęście

W sierpniu 2022 pisaliśmy, jak miał General Bytes padła ofiara do błędu po stronie serwera, w którym osoby atakujące zdalnie mogły oszukać serwer bankomatu klienta, aby dał mu dostęp do stron konfiguracyjnych „skonfiguruj zupełnie nowy system”.

Jeśli kiedykolwiek flashowałeś iPhone'a lub urządzenie z Androidem, wiesz, że osoba, która przeprowadza pierwotną konfigurację, przejmuje kontrolę nad urządzeniem, zwłaszcza dlatego, że może skonfigurować głównego użytkownika i wybrać zupełnie nowy kod blokady lub hasło podczas procesu.

Jednak wiesz również, że nowoczesne telefony komórkowe wymuszają wymazanie starej zawartości urządzenia, w tym wszystkich danych starego użytkownika, przed ponowną instalacją i konfiguracją systemu operacyjnego, aplikacji i ustawień systemowych.

Innymi słowy, możesz zacząć od nowa, ale nie możesz przejąć miejsca, w którym skończył poprzedni użytkownik, w przeciwnym razie możesz użyć ponownego flashowania systemu (lub DFU, skrót od aktualizacja oprogramowania sprzętowego urządzenia, jak nazywa to Apple), aby uzyskać dostęp do plików poprzedniego właściciela.

Jednak na serwerze General Bytes ATM ścieżka nieautoryzowanego dostępu, która doprowadziła atakujących do ekranów konfiguracji „rozpocznij od zera”, nie zneutralizowała najpierw żadnych danych na infiltrowanym urządzeniu…

…aby oszuści mogli nadużywać procesu „konfigurowania nowego konta administracyjnego” serwera w celu utworzenia dodatkowego administratora na istniejący system.

Dwa razy wygląda na nieostrożność

Ostatnim razem firma General Bytes doznała czegoś, co można nazwać atakiem bez złośliwego oprogramowania, w którym przestępcy nie wszczepili żadnego złośliwego kodu.

Atak z 2022 r. został zaaranżowany po prostu poprzez złośliwe zmiany konfiguracji, przy czym bazowy system operacyjny i oprogramowanie serwera pozostały nietknięte.

Tym razem napastnicy użyli m.in bardziej konwencjonalne podejście które opierały się na implancie: złośliwe oprogramowanie lub malware w skrócie, który został przesłany przez lukę w zabezpieczeniach, a następnie użyty jako coś, co można nazwać „alternatywnym panelem sterowania”.

W prostym języku angielskim: oszuści znaleźli błąd, który umożliwił im zainstalowanie backdoora, dzięki czemu mogli później uzyskać dostęp bez pozwolenia.

Jak ujął to General Bytes:

Atakujący był w stanie zdalnie przesłać własną aplikację Java za pośrednictwem głównego interfejsu usługi używanego przez terminale do przesyłania filmów i uruchomić ją z uprawnieniami użytkownika batm.

Nie jesteśmy pewni, dlaczego bankomat potrzebuje opcji zdalnego przesyłania zdjęć i filmów, tak jakby był to jakiś portal społecznościowy lub serwis społecznościowy…

…ale wydaje się, że system Coin ATM Server zawiera właśnie taką funkcję, prawdopodobnie po to, aby reklamy i inne oferty specjalne mogły być promowane bezpośrednio wśród klientów odwiedzających bankomaty.

Przesłane pliki, które nie są tym, czym się wydają

Niestety, każdy serwer, który umożliwia przesyłanie, nawet jeśli pochodzą one z zaufanego (lub przynajmniej uwierzytelnionego źródła), musi uważać na kilka rzeczy:

• Przesłane pliki muszą zostać zapisane w obszarze przejściowym, w którym nie można ich natychmiast odczytać z zewnątrz. Dzięki temu niewiarygodni użytkownicy nie będą mogli zmienić Twojego serwera w tymczasowy system dostarczania nieautoryzowanych lub nieodpowiednich treści za pośrednictwem adresu URL, który wygląda na legalny, ponieważ ma imprimatur Twojej marki.
• Przesłane pliki muszą zostać sprawdzone, aby upewnić się, że odpowiadają dozwolonym typom plików. Pomaga to powstrzymać nieuczciwych użytkowników przed zastawianiem pułapek w obszarze przesyłania przez zaśmiecanie go skryptami lub programami, które mogą później zostać wykonane na serwerze, a nie po prostu udostępnione kolejnemu odwiedzającemu.
• Przesłane pliki należy zapisywać z możliwie najbardziej restrykcyjnymi uprawnieniami dostępu, tak, aby ukryte lub uszkodzone pliki nie mogły zostać przypadkowo uruchomione, a nawet uzyskać do nich dostępu z bezpieczniejszych części systemu.

Wygląda na to, że General Bytes nie przedsięwziął tych środków ostrożności, w wyniku czego osoby atakujące były w stanie wykonać szeroki zakres działań naruszających prywatność i kradnących kryptowaluty.

Złośliwa aktywność najwyraźniej obejmowała: odczytywanie i odszyfrowywanie kodów uwierzytelniających używanych do uzyskiwania dostępu do środków w gorących portfelach i giełdach; wysyłanie środków z gorących portfeli; pobieranie nazw użytkowników i skrótów haseł; odzyskiwanie kluczy kryptograficznych klienta; wyłączenie 2FA; i dostęp do dzienników zdarzeń.

Co robić?

• Jeśli korzystasz z systemów bankomatów General Bytes Coin, poczytaj firme raport o naruszeniu, który podpowiada, jak szukać tzw. IoC (wskaźniki kompromisu) i co robić, czekając na opublikowanie łatek.

Zwróć uwagę, że firma potwierdziła, że ​​dotyczy to zarówno samodzielnych serwerów bankomatów monetowych, jak i jej własnych systemów opartych na chmurze (w których płacisz General Bytes opłatę w wysokości 0.5% od wszystkich transakcji w zamian za obsługę twoich serwerów dla ciebie).

Co ciekawe, General Bytes donosi, że tak będzie „zamyka swoją usługę w chmurze”, i nalegając na to „będziesz musiał zainstalować własny samodzielny serwer”. (Raport nie podaje terminu, ale firma już aktywnie oferuje wsparcie migracji.)

W przypadku zwrotu, który poprowadzi firmę w przeciwnym kierunku niż większość innych współczesnych firm zorientowanych na usługi, General Bytes podkreśla, że „teoretycznie (i praktycznie) niemożliwe jest zabezpieczenie systemu zapewniającego dostęp wielu operatorom w tym samym czasie, w którym niektórzy z nich są złymi aktorami”.

• Jeśli ostatnio korzystałeś z bankomatu General Bytes, skontaktuj się ze swoją giełdą lub giełdami kryptowalut, aby uzyskać poradę, co robić i czy któryś z Twoich środków jest zagrożony.

• Jeśli jesteś programistą i zajmujesz się usługą online, niezależnie od tego, czy jest hostowany samodzielnie, czy w chmurze, przeczytaj i zastosuj się do naszych porad dotyczących przesyłania i katalogów przesyłania.

• Jeśli jesteś entuzjastą kryptowalut, trzymaj jak najmniej swoich kryptowalut w tzw gorące portfele.

Gorące portfele to w zasadzie fundusze, które są gotowe do handlu w każdej chwili (być może automatycznie) i zwykle wymagają albo powierzenia własnych kluczy kryptograficznych komuś innemu, albo tymczasowego przeniesienia środków do jednego lub kilku ich portfeli.

---

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
• Źródło: https://nakedsecurity.sophos.com/2023/03/20/bitcoin-atm-customers-hacked-by-video-upload-that-was-actually-an-app/