Клиентов биткойн-банкоматов взломали, загрузив видео, которое на самом деле было приложением

В истории операционных систем есть много военных каламбуров.

Известно, что в Unix есть целый штат сотрудников, известных как Основной номер, которые организуют в вашей системе батальоны таких устройств, как дисководы, клавиатуры и веб-камеры.

Однажды Microsoft боролась с очевидно некомпетентным Общая ошибка, которого регулярно замечали, когда он пытался прочитать ваши DOS-диски и терпел неудачу.

Linux периодически имеет проблемы с Полковник паник, чья внешний вид Обычно за этим следуют потерянные данные, потенциально поврежденные файловые системы и срочная необходимость выключить питание и перезагрузить компьютер.

И чешская криптовалютная компания, похоже, не получает той надежности, которую можно было бы разумно ожидать от личности по имени Общие байты.

На самом деле, Общие байты — это название самой компании, бизнеса, которому, к сожалению, не привыкать к нежелательным вторжениям и несанкционированному доступу к криптовалютным средствам.

Однажды это несчастье

В августе 2022 года мы писали, как General Bytes павшая жертва к ошибке на стороне сервера, из-за которой удаленные злоумышленники могли обмануть сервер банкомата клиента, предоставив им доступ к страницам конфигурации «настроить совершенно новую систему».

Если вы когда-либо перепрошивали iPhone или Android-устройство, вы знаете, что человек, который выполняет первоначальную настройку, в конечном итоге получает контроль над устройством, в частности потому, что он может настроить основного пользователя и выбрать новый код блокировки. или парольную фразу во время процесса.

Однако вы также знаете, что современные мобильные телефоны принудительно стирают старое содержимое устройства, включая все данные старого пользователя, перед переустановкой и перенастройкой операционной системы, приложений и системных настроек.

Другими словами, вы можете начать заново, но вы не можете продолжить с того места, на котором остановился последний пользователь, в противном случае вы можете использовать перепрошивку системы (или DFU, сокращение от обновление прошивки устройства, как это называет Apple), чтобы получить доступ к файлам предыдущего владельца.

Однако на сервере General Bytes ATM путь несанкционированного доступа, который привел злоумышленников к экранам настройки «начать с нуля», сначала не нейтрализовал какие-либо данные на зараженном устройстве…

…чтобы мошенники могли злоупотреблять серверным процессом «настроить новую административную учетную запись», чтобы создать дополнительного пользователя-администратора на Существующая система.

Дважды похоже на небрежность

В прошлый раз General Bytes подверглась тому, что можно было бы назвать атакой без вредоносного ПО, когда преступники не внедрили никакого вредоносного кода.

Атака 2022 года была организована просто путем злонамеренных изменений конфигурации, при этом базовая операционная система и серверное программное обеспечение остались нетронутыми.

На этот раз злоумышленники использовали более традиционный подход которые полагались на имплант: вредоносное программное обеспечение или вредоносных программ Короче говоря, это было загружено через лазейку в системе безопасности, а затем использовалось как то, что вы могли бы назвать «альтернативной панелью управления».

Говоря простым языком: мошенники обнаружили ошибку, которая позволила им установить бэкдор, чтобы впоследствии они могли проникнуть внутрь без разрешения.

Как сказал General Bytes:

Злоумышленник смог удаленно загрузить собственное Java-приложение через основной сервисный интерфейс, используемый терминалами для загрузки видео, и запустить его с правами пользователя batm.

Мы не уверены, зачем банкомату нужна опция удаленной загрузки изображений и видео, как если бы это был какой-то сайт общественного блога или служба социальных сетей…

…но похоже, что система Coin ATM Server включает именно такую ​​функцию, по-видимому, для того, чтобы реклама и другие специальные предложения могли рекламироваться непосредственно клиентам, которые посещают банкоматы.

Загрузки, которые не являются тем, чем кажутся

К сожалению, любой сервер, который разрешает загрузку, даже если она исходит из надежного (или, по крайней мере, аутентифицированного источника), должен быть осторожен с несколькими вещами:

• Загрузки должны быть записаны в промежуточную область, где они не могут быть немедленно прочитаны извне. Это помогает гарантировать, что ненадежные пользователи не смогут превратить ваш сервер во временную систему доставки несанкционированного или неприемлемого контента через URL-адрес, который выглядит законным, поскольку имеет разрешение вашего бренда.
• Загрузки должны быть проверены, чтобы убедиться, что они соответствуют разрешенным типам файлов. Это помогает помешать мошенническим пользователям заминировать вашу область загрузки, засорив ее сценариями или программами, которые впоследствии могут быть выполнены на сервере, а не просто доставлены следующему посетителю.
• Загрузки должны быть сохранены с максимально ограничительными правами доступа, так что заминированные или поврежденные файлы не могут быть непреднамеренно запущены или даже доступны из более безопасных частей системы.

Похоже, что General Bytes не приняла эти меры предосторожности, в результате чего злоумышленники смогли выполнить широкий спектр действий, направленных на нарушение конфиденциальности и кражу криптовалюты.

По всей видимости, вредоносная деятельность включала: чтение и расшифровку кодов аутентификации, используемых для доступа к средствам в горячих кошельках и на биржах; отправка средств с горячих кошельков; скачивание хэшей юзернеймов и паролей; получение криптографических ключей клиента; отключение 2FA; и доступ к журналам событий.

Что делать?

• Если вы используете банкоматы General Bytes Coin, прочитать информацию о компании отчет о взломе, в котором рассказывается, как искать так называемые IoC (индикаторы компрометации), и что делать, пока вы ждете публикации исправлений.

Обратите внимание, что компания подтвердила, что пострадали как автономные серверы Coin ATM, так и ее собственные облачные системы (где вы платите General Bytes 0.5% сбора со всех транзакций в обмен на то, что они управляют вашими серверами для вас).

Интересно, что General Bytes сообщает, что это будет «закрытие своего облачного сервиса», и настаивая на том, что «вам нужно будет установить собственный автономный сервер». (В отчете не указан крайний срок, но компания уже активно предлагает поддержку миграции.)

На повороте, который поведет компанию в направлении, противоположном большинству других современных сервис-ориентированных компаний, General Bytes настаивает на том, что «теоретически (и практически) невозможно защитить систему, предоставляющую доступ нескольким операторам одновременно, если некоторые из них являются злоумышленниками».

• Если вы недавно пользовались банкоматом General Bytes, свяжитесь с вашей криптовалютной биржей или биржами, чтобы получить совет о том, что делать, и о том, находятся ли какие-либо из ваших средств в опасности.

• Если вы программист, занимающийся онлайн-сервисом, будь то самостоятельный или облачный хостинг, прочитайте и прислушайтесь к нашим советам выше о загрузках и каталогах загрузки.

• Если вы энтузиаст криптовалюты, держите как можно меньше своего тайника криптомонеты в так называемом горячие кошельки.

Горячие кошельки — это, по сути, средства, которые готовы к обмену в любой момент (возможно, автоматически), и обычно требуют, чтобы вы либо доверили свои собственные криптографические ключи кому-то другому, либо временно перевели средства в один или несколько их кошельков.

---

• SEO-контент и PR-распределение. Получите усиление сегодня.
• Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
• Источник: https://nakedsecurity.sophos.com/2023/03/20/bitcoin-atm-customers-hacked-by-video-upload-that-was-actually-an-app/