Nie poznałbyś tego, odwiedzając główną stronę firmy, ale General Bytes, czeska firma sprzedająca bankomaty Bitcoin, jest ponaglając swoich użytkowników do załatać krytyczny błąd wysysający pieniądze w swoim oprogramowaniu serwerowym.
Firma sprzedaje na całym świecie ponad 13,000 5000 bankomatów, których cena detaliczna wynosi XNUMX USD i więcej, w zależności od funkcji i wyglądu.
Nie wszystkie kraje przychylnie przyjęły bankomaty kryptowalutowe – na przykład brytyjski regulator ostrzegany w marcu 2022 r. że żaden z bankomatów działających w tym czasie w kraju nie był oficjalnie zarejestrowany i powiedział, że będzie „skontaktowanie się z operatorami z poleceniem wyłączenia maszyn”.
Poszliśmy wtedy sprawdzić nasz lokalny bankomat kryptograficzny i okazało się, że wyświetla komunikat „Terminal offline”. (Urządzenie zostało usunięte z centrum handlowego, w którym zostało zainstalowane).
Niemniej jednak General Bytes twierdzi, że obsługuje klientów w ponad 140 krajach, a globalna mapa lokalizacji bankomatów pokazuje obecność na wszystkich kontynentach z wyjątkiem Antarktydy.
Zgłoszono incydent związany z bezpieczeństwem
Według bazy wiedzy produktu General Bytes „incydent dotyczący bezpieczeństwa” o poziomie istotności Najwyższa była odkryty w zeszłym tygodniu.
Własnymi słowami firmy:
Atakujący był w stanie zdalnie utworzyć użytkownika administratora za pośrednictwem interfejsu administracyjnego CAS poprzez wywołanie adresu URL na stronie, która jest używana do domyślnej instalacji na serwerze i utworzenia pierwszego użytkownika administracyjnego.
O ile możemy powiedzieć, CAS jest skrótem Serwer bankomatu na monety, a każdy operator bankomatów kryptowalut General Bytes potrzebuje jednego z nich.
Wydaje się, że możesz hostować swój CAS w dowolnym miejscu, w tym na własnym sprzęcie we własnej serwerowni, ale General Bytes ma specjalną umowę z firmą hostingową Digital Ocean na tanie rozwiązanie w chmurze. (Możesz również pozwolić General Bytes na obsługę serwera w chmurze w zamian za 0.5% cięcia wszystkich transakcji gotówkowych).
Zgodnie z raportem o incydencie, osoby atakujące wykonały skanowanie portów usług w chmurze firmy Digital Ocean, szukając nasłuchujących usług internetowych (porty 7777 lub 443), które zidentyfikowały się jako serwery General Bytes CAS, w celu znalezienia listy potencjalnych ofiar.
Należy zauważyć, że wykorzystana tutaj luka nie dotyczyła systemu Digital Ocean ani nie ograniczała się do instancji CAS opartych na chmurze. Zgadujemy, że napastnicy po prostu uznali, że Digital Ocean to dobre miejsce do rozpoczęcia poszukiwań. Pamiętaj, że przy bardzo szybkim łączu internetowym (np. 10Gbit/s) i korzystając z darmowego oprogramowania, zdeterminowani napastnicy mogą teraz przeskanować całą internetową przestrzeń adresową IPv4 w ciągu godzin, a nawet minut. W ten sposób działają publiczne wyszukiwarki, takie jak Shodan i Censys, nieustannie przeszukując Internet, aby odkryć, które serwery i jakie wersje są aktualnie aktywne w których lokalizacjach online.
Najwyraźniej luka w samym CAS pozwoliła atakującym na manipulowanie ustawieniami usług kryptowalut ofiary, w tym:
- Dodawanie nowego użytkownika z uprawnieniami administracyjnymi.
- Korzystanie z nowego konta administratora do rekonfiguracji istniejących bankomatów.
- Przekierowywanie wszystkich nieprawidłowych płatności do własnego portfela.
O ile widzimy, oznacza to, że przeprowadzone ataki ograniczały się do przelewów lub wypłat, w których klient popełnił błąd.
Wygląda na to, że w takich przypadkach zamiast bankomatu zbierającego błędnie skierowane środki, aby móc je następnie zwrócić lub poprawnie przekierować…
…fundusze trafiłyby bezpośrednio i nieodwracalnie do atakujących.
General Bytes nie powiedział, w jaki sposób ta usterka zwróciła jego uwagę, chociaż wyobrażamy sobie, że każdy operator bankomatu, który otrzyma wezwanie pomocy w sprawie nieudanej transakcji, szybko zauważy, że jego ustawienia usługi zostały naruszone i podniesie alarm.
Wskaźniki kompromisu
Wyglądało na to, że napastnicy pozostawili po sobie różne charakterystyczne ślady swojej działalności, dzięki czemu generał Bytes był w stanie zidentyfikować liczne tzw. Wskaźniki kompromisu (IoC), aby pomóc swoim użytkownikom zidentyfikować zhakowane konfiguracje CAS.
(Pamiętaj oczywiście, że brak IoC nie gwarantuje braku atakujących, ale znane IoC są przydatnym miejscem do rozpoczęcia, jeśli chodzi o wykrywanie zagrożeń i reagowanie).
Na szczęście, być może ze względu na fakt, że ten exploit opierał się na nieprawidłowych płatnościach, a nie umożliwiał atakującym bezpośrednie opróżnianie bankomatów, ogólne straty finansowe w tym incydencie nie wpływają na wielomilionowe dolary kwoty często kojarzone w pomyłki w kryptowalutach.
General Bytes twierdził wczoraj [2022], że „[I]incydent został zgłoszony czeskiej policji. Całkowite szkody wyrządzone operatorom bankomatów na podstawie ich opinii to 16,000 XNUMX USD”.
Firma automatycznie dezaktywowała również wszystkie bankomaty, którymi zarządzała w imieniu swoich klientów, co wymagało od tych klientów zalogowania się i sprawdzenia własnych ustawień przed ponowną aktywacją urządzeń bankomatowych.
Co robić?
General Bytes wymienił i 11-etapowy proces których klienci muszą przestrzegać, aby rozwiązać ten problem, w tym:
- łatanie serwer CAS.
- Przeglądanie ustawień zapory ograniczyć dostęp do jak najmniejszej liczby użytkowników sieci.
- Dezaktywacja terminali bankomatów aby serwer mógł zostać ponownie podniesiony do przeglądu.
- Przeglądanie wszystkich ustawień, w tym wszelkie fałszywe terminale, które mogły zostać dodane.
- Ponowna aktywacja terminali dopiero po wykonaniu wszystkich kroków polowania na zagrożenia.
Nawiasem mówiąc, ten atak jest silnym przypomnieniem, dlaczego współczesna reakcja na zagrożenia nie chodzi tylko o łatanie dziur i usuwanie złośliwego oprogramowania.
W tym przypadku przestępcy nie wszczepili żadnego złośliwego oprogramowania: atak został zaaranżowany po prostu przez złośliwe zmiany w konfiguracji, bez naruszania podstawowego systemu operacyjnego i oprogramowania serwera.
Za mało czasu lub personelu?
Dowiedz się więcej o: Zarządzanie wykrywaniem i reagowaniem Sophos:
Całodobowe polowanie na zagrożenia, wykrywanie i reagowanie ▶
Polecany obraz wyimaginowanych Bitcoinów za pośrednictwem Licencja Unsplash.
- bankomat
- blockchain
- BTC
- pomysłowość
- Crypto
- kryptowaluta
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Ogólne bajty
- Kaspersky
- malware
- Mcafee
- Nagie bezpieczeństwo
- NexBLOC
- wycofanie fantomu
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- wrażliwość
- zabezpieczenia stron internetowych
- zefirnet
![S3, odc. 126: Cena szybkiej mody (i pełzania funkcji) [Audio + tekst]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-300x156.png "S3, odc. 126: Cena szybkiej mody (i pełzania funkcji) [Audio + tekst]")
