Nu ați ști asta vizitând site-ul principal al companiei, dar General Bytes, o companie cehă care vinde ATM-uri Bitcoin, este îndemnând utilizatorii săi la corectează o eroare critică de scurgere de bani în software-ul său server.
Compania susține vânzări la nivel mondial de peste 13,000 de bancomate, care se vând cu amănuntul la 5000 USD și mai mult, în funcție de caracteristici și aspect.
Nu toate țările au fost amabile cu ATM-urile criptomonede – de exemplu, autoritatea de reglementare din Marea Britanie, avertizat în martie 2022 că niciunul dintre bancomatele care operau în țară la acea vreme nu a fost înregistrat oficial și a spus că așa va fi „contactarea operatorilor pentru a da instrucțiuni ca mașinile să fie oprite”.
Ne-am dus să verificăm ATM-ul nostru local cripto la momentul respectiv și am găsit că afișează un mesaj „Terminal offline”. (De atunci, dispozitivul a fost scos din centrul comercial unde a fost instalat.)
Cu toate acestea, General Bytes spune că deservește clienți din peste 140 de țări, iar harta sa globală a locațiilor ATM-urilor arată o prezență pe fiecare continent, cu excepția Antarcticii.
Incident de securitate raportat
Potrivit bazei de cunoștințe despre produse General Bytes, un „incident de securitate” la un nivel de severitate de Nivel a fost descoperit săptămâna trecută.
În propriile cuvinte ale companiei:
Atacatorul a reușit să creeze un utilizator admin de la distanță prin interfața administrativă CAS printr-un apel URL pe pagina care este utilizată pentru instalarea implicită pe server și pentru crearea primului utilizator de administrare.
Din câte ne putem da seama, CAS este prescurtarea de la Server ATM pentru monede, iar fiecare operator de ATM-uri cu criptomonede General Bytes are nevoie de unul dintre acestea.
Puteți găzdui CAS-ul oriunde doriți, se pare, inclusiv pe propriul hardware în propria cameră de server, dar General Bytes are o înțelegere specială cu compania de găzduire Digital Ocean pentru o soluție cloud la preț redus. (De asemenea, puteți lăsa General Bytes să ruleze serverul pentru dvs. în cloud în schimbul unei reduceri de 0.5% din toate tranzacțiile în numerar.)
Potrivit raportului incidentului, atacatorii au efectuat o scanare a portului serviciilor cloud ale Digital Ocean, căutând servicii web de ascultare (porturile 7777 sau 443) care s-au identificat drept servere General Bytes CAS, pentru a găsi o listă cu potențialele victime.
Rețineți că vulnerabilitatea exploatată aici nu sa datorat Oceanului Digital sau limitată la instanțe CAS bazate pe cloud. Bănuim că atacatorii au decis pur și simplu că Digital Ocean este un loc bun pentru a începe să căutați. Amintiți-vă că, cu o conexiune la internet de foarte mare viteză (de exemplu, 10 Gbit/sec) și folosind software disponibil gratuit, atacatorii hotărâți pot acum scana întreg spațiul de adrese de internet IPv4 în ore sau chiar minute. Așa funcționează motoarele de căutare publice de vulnerabilitate, cum ar fi Shodan și Censys, căutând continuu internetul pentru a descoperi ce servere și ce versiuni sunt active în prezent în ce locații online.
Aparent, o vulnerabilitate în CAS în sine le-a permis atacatorilor să manipuleze setările serviciilor de criptomonedă ale victimei, inclusiv:
- Adăugarea unui nou utilizator cu privilegii administrative.
- Folosind acest nou cont de administrator pentru a reconfigura bancomatele existente.
- Deturnarea tuturor plăților nevalide la un portofel al lor.
Din câte putem vedea, asta înseamnă că atacurile efectuate s-au limitat la transferuri sau retrageri în care clientul a făcut o greșeală.
În astfel de cazuri, se pare, în loc ca operatorul ATM-ului să colecteze fondurile direcționate greșit, astfel încât acestea să poată fi ulterior rambursate sau redirecționate corect...
… fondurile ar merge direct și ireversibil către atacatori.
General Bytes nu a spus cum a intrat în atenție această defecțiune, deși ne imaginăm că orice operator de bancomat care se confruntă cu un apel de asistență pentru o tranzacție eșuată ar observa rapid că setările serviciului lor au fost modificate și va trage alarma.
Indicatori de compromis
Atacatorii, se pare, au lăsat în urmă diverse semne revelatoare ale activității lor, astfel încât General Bytes a putut identifica numeroase așa-numite Indicatori de compromis (IoC) pentru a-și ajuta utilizatorii să identifice configurațiile CAS piratate.
(Amintiți-vă, desigur, că absența IoC-urilor nu garantează absența oricărui atacator, dar IoC-urile cunoscute sunt un loc util de început când vine vorba de detectarea și răspunsul amenințărilor.)
Din fericire, poate din cauza faptului că această exploatare s-a bazat pe plăți nevalide, mai degrabă decât să permită atacatorilor să epuizeze direct bancomatele, pierderile financiare generale în acest incident nu se încadrează în milioane de dolari Sume adesea asociate cu gafe de criptomonede.
General Bytes a susținut ieri [2022-08-22] că „[i]incidentul a fost raportat poliției cehe. Prejudiciul total cauzat operatorilor de bancomate pe baza feedback-ului lor este de 16,000 USD.”
De asemenea, compania a dezactivat automat orice bancomate pe care le gestiona în numele clienților săi, solicitând astfel acelor clienți să se autentifice și să își revizuiască propriile setări înainte de a-și reactiva dispozitivele ATM.
Ce să fac?
General Bytes a enumerat un Proces în 11 pași pe care clienții săi trebuie să le urmeze pentru a remedia această problemă, inclusiv:
- patching serverul CAS.
- Revizuirea setărilor paravanului de protecție pentru a restricționa accesul la cât mai puțini utilizatori de rețea.
- Dezactivarea terminalelor ATM astfel încât serverul să poată fi adus din nou pentru revizuire.
- Revizuirea tuturor setărilor, inclusiv orice terminale false care ar fi putut fi adăugate.
- Reactivarea terminalelor numai după finalizarea tuturor pașilor de vânătoare de amenințări.
Acest atac, apropo, este un memento puternic al motivului pentru care răspunsul contemporan la amenințare nu este vorba doar despre repararea găurilor și eliminarea programelor malware.
În acest caz, criminalii nu au implantat niciun malware: atacul a fost orchestrat pur și simplu prin modificări răuvoitoare ale configurației, sistemul de operare și software-ul serverului de bază rămânând neatinse.
Nu este suficient timp sau personal?
Aflați mai multe despre Sophos Managed Detection and Response:
Vânătoarea, detectarea și răspunsul amenințărilor 24/7 ▶
Imagine prezentată cu Bitcoins imaginați prin Unsplash licență.
- ATM
- blockchain
- BTC
- coingenius
- cripto
- cryptocurrency
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Octiți generali
- Kaspersky
- malware
- McAfee
- Securitate goală
- NexBLOC
- retragere fantomă
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- vulnerabilitate
- securitatea site-ului
- zephyrnet
![S3 Ep 126: Prețul fast-mod-ului (și al caracteristicilor) [Audio + Text]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-300x156.png "S3 Ep 126: Prețul fast-mod-ului (și al caracteristicilor) [Audio + Text]")
