Вы не узнаете об этом, посетив главный веб-сайт компании, но General Bytes, чешская компания, которая продает биткойн-банкоматы, призывая своих пользователей в исправьте критическую ошибку по выкачиванию денег в своем серверном ПО.
Компания утверждает, что по всему миру продано более 13,000 5000 банкоматов, которые продаются по цене от XNUMX долларов и выше, в зависимости от функций и внешнего вида.
Не все страны благосклонно относятся к криптовалютным банкоматам — например, регулятор Великобритании предупрежден в марте 2022 г. что ни один из банкоматов, работающих в стране на тот момент, не был официально зарегистрирован, и сказал, что это будет «обращение к операторам с указанием выключить машины».
В то время мы пошли проверить наш местный крипто-банкомат и обнаружили, что он отображает сообщение «Терминал отключен». (С тех пор устройство было удалено из торгового центра, где оно было установлено.)
Тем не менее, General Bytes заявляет, что обслуживает клиентов более чем в 140 странах, а глобальная карта расположения банкоматов показывает их присутствие на всех континентах, кроме Антарктиды.
Сообщается об инциденте безопасности
Согласно базе знаний по продуктам General Bytes, «инцидент безопасности» с уровнем серьезности Наивысший законопроект обнаружен на прошлой неделе.
По словам самой компании:
Злоумышленник смог создать пользователя-администратора удаленно через административный интерфейс CAS, вызвав URL-адрес на странице, которая используется для установки по умолчанию на сервере и создания первого пользователя-администратора.
Насколько мы можем судить, CAS является аббревиатурой Монетный сервер банкомата, и каждый оператор банкоматов с криптовалютой General Bytes нуждается в одном из них.
Кажется, вы можете разместить свой CAS где угодно, в том числе на своем собственном оборудовании в своей собственной серверной комнате, но у General Bytes есть специальное соглашение с хостинговой компанией Digital Ocean для недорогого облачного решения. (Вы также можете позволить General Bytes запустить сервер для вас в облаке в обмен на 0.5%-ное сокращение всех транзакций с наличными.)
Согласно отчету об инциденте, злоумышленники выполнили сканирование портов облачных сервисов Digital Ocean в поисках прослушивающих веб-сервисов (порты 7777 или 443), которые идентифицировали себя как серверы General Bytes CAS, чтобы найти список потенциальных жертв.
Обратите внимание, что использованная здесь уязвимость не была связана с Digital Ocean и не ограничивалась облачными экземплярами CAS. Мы предполагаем, что злоумышленники просто решили, что Digital Ocean — хорошее место для начала поиска. Помните, что благодаря очень высокоскоростному интернет-соединению (например, 10 Гбит/с) и свободно доступному программному обеспечению решительные злоумышленники теперь могут сканировать все интернет-адресное пространство IPv4 за часы или даже минуты. Именно так работают общедоступные поисковые системы уязвимостей, такие как Shodan и Censys, которые постоянно просматривают Интернет, чтобы узнать, какие серверы и какие версии в настоящее время активны в каких онлайн-местоположениях.
Судя по всему, уязвимость в самой CAS позволяла злоумышленникам манипулировать настройками криптовалютных сервисов жертвы, в том числе:
- Добавление нового пользователя с административными привилегиями.
- Использование этой новой учетной записи администратора перенастроить существующие банкоматы.
- Перенаправление всех недействительных платежей на собственный кошелек.
Насколько мы видим, это означает, что проведенные атаки были ограничены переводами или снятием средств, когда клиент допустил ошибку.
В таких случаях, кажется, вместо того, чтобы оператор банкомата собирал неправильно направленные средства, чтобы впоследствии их можно было возместить или правильно перенаправить…
…средства пойдут напрямую и безвозвратно злоумышленникам.
Компания General Bytes не сообщила, как эта уязвимость привлекла ее внимание, хотя мы полагаем, что любой оператор банкомата, столкнувшийся со звонком в службу поддержки по поводу неудачной транзакции, быстро заметит, что настройки его службы были изменены, и поднимет тревогу.
Показатели компромисса
Злоумышленники, по-видимому, оставили после себя различные контрольные признаки своей деятельности, так что General Bytes смог идентифицировать многочисленные так называемые Показатели компромисса (IoC), чтобы помочь своим пользователям идентифицировать взломанные конфигурации CAS.
(Помните, конечно, что отсутствие IoC не гарантирует отсутствия каких-либо злоумышленников, но известные IoC — это удобная отправная точка, когда дело доходит до обнаружения угроз и реагирования на них.)
К счастью, возможно, из-за того, что этот эксплойт основывался на недействительных платежах, а не позволял злоумышленникам напрямую опустошать банкоматы, общие финансовые потери в этом инциденте не превышают многомиллионный доллар суммы часто ассоциируется грубые ошибки криптовалюты.
Компания General Bytes заявила вчера [2022-08-22], что «[О] происшествии сообщили в полицию Чехии. Общий ущерб, причиненный операторам банкоматов на основании их отзывов, составляет 16,000 XNUMX долларов США».
Компания также автоматически деактивировала все банкоматы, которыми она управляла от имени своих клиентов, тем самым требуя, чтобы эти клиенты вошли в систему и проверили свои собственные настройки перед повторной активацией своих банкоматов.
Что делать?
Компания General Bytes перечислила 11-х этапный процесс которым должны следовать его клиенты, чтобы исправить эту проблему, в том числе:
- Заделка CAS-сервер.
- Просмотр настроек брандмауэра ограничить доступ как можно меньшему количеству пользователей сети.
- Деактивация банкоматов так что сервер может быть поднят снова для просмотра.
- Просмотр всех настроек, включая любые фиктивные терминалы, которые могли быть добавлены.
- Реактивация терминалов только после выполнения всех шагов по поиску угроз.
Эта атака, кстати, является сильным напоминанием о том, почему современное реагирование на угрозы это не просто латание дыр и удаление вредоносных программ.
В данном случае злоумышленники не внедряли никаких вредоносных программ: атака была организована просто путем злонамеренных изменений конфигурации, при этом базовая операционная система и серверное программное обеспечение остались нетронутыми.
Не хватает времени или персонала?
Узнать больше о Управляемое обнаружение и реагирование Sophos:
Круглосуточный поиск угроз, обнаружение и реагирование ▶
Рекомендуемое изображение воображаемых биткойнов через Unsplash лицензия.
- ATM
- блокчейн
- BTC
- Coingenius
- крипто-
- криптовалюта
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Общие байты
- Kaspersky
- вредоносных программ
- Mcafee
- Голая Безопасность
- НексБЛОК
- фантомный уход
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- уязвимость
- безопасности веб-сайтов
- зефирнет
![С3, эпизод 126: Цена быстрой моды (и ползучесть функций) [Аудио + Текст]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-300x156.png "С3, эпизод 126: Цена быстрой моды (и ползучесть функций) [Аудио + Текст]")
