Bitcoin bankomati, ki so jih ukradli napadalci, ki so ustvarili lažne skrbniške račune

Tega ne bi vedeli, če bi obiskali glavno spletno mesto podjetja, toda češko podjetje General Bytes, ki prodaja bankomate z bitcoini, poziva svoje uporabnike do popravi kritično napako, ki odteka denar v svoji strežniški programski opremi.

Podjetje trdi, da je po vsem svetu prodalo več kot 13,000 bankomatov, ki se prodajajo za 5000 $ in več, odvisno od lastnosti in videza.

Vse države niso prijazno sprejele bankomatov za kriptovalute – regulator Združenega kraljestva je na primer opozoril marca 2022 da nobeden od takrat delujočih bankomatov v državi ni bil uradno registriran, in dejal, da bo "kontakt z operaterji z navodili, da se stroji zaustavijo".

Takrat smo šli preveriti naš lokalni kripto bankomat in ugotovili, da prikazuje sporočilo »Terminal offline«. (Naprava je bila medtem odstranjena iz nakupovalnega središča, kjer je bila nameščena.)

Kljub temu General Bytes pravi, da oskrbuje stranke v več kot 140 državah, njegov globalni zemljevid lokacij bankomatov pa kaže prisotnost na vseh celinah razen na Antarktiki.

Prijavljen varnostni incident

Glede na zbirko znanja o izdelkih General Bytes je "varnostni incident" na stopnji resnosti Najvišji je odkril prejšnji teden.

Z lastnimi besedami podjetja:

Napadalec je lahko ustvaril skrbniškega uporabnika na daljavo prek skrbniškega vmesnika CAS prek klica URL na strani, ki se uporablja za privzeto namestitev na strežniku in ustvarjanje prvega skrbniškega uporabnika.

Kolikor lahko ugotovimo, CAS je okrajšava za Coin ATM strežnik, in vsak operater bankomatov s kriptovalutami General Bytes potrebuje enega od teh.

Zdi se, da lahko svoj CAS gostite kjerkoli želite, tudi na lastni strojni opremi v svoji strežniški sobi, vendar ima General Bytes posebno pogodbo z gostiteljskim podjetjem Digital Ocean za poceni rešitev v oblaku. (Lahko tudi dovolite podjetju General Bytes, da namesto vas poganja strežnik v oblaku v zameno za 0.5-odstotno zmanjšanje vseh gotovinskih transakcij.)

Glede na poročilo o incidentu so napadalci izvedli skeniranje vrat oblačnih storitev Digital Ocean in iskali prisluškovalne spletne storitve (vrata 7777 ali 443), ki so se identificirale kot strežnike General Bytes CAS, da bi našli seznam potencialnih žrtev.

Upoštevajte, da tukaj izkoriščena ranljivost ni bila omejena na Digital Ocean ali omejena na primerke CAS v oblaku. Ugibamo, da so se napadalci preprosto odločili, da je Digital Ocean dobro mesto za začetek iskanja. Ne pozabite, da lahko odločni napadalci z zelo hitro internetno povezavo (npr. 10 Gbit/s) in uporabo prosto dostopne programske opreme pregledajo celoten internetni naslovni prostor IPv4 v urah ali celo minutah. Tako delujejo javni iskalniki ranljivosti, kot sta Shodan in Censys, ki nenehno brskajo po internetu, da odkrijejo, kateri strežniki in katere različice so trenutno aktivni na kateri spletni lokaciji.

Očitno je ranljivost v samem CAS napadalcem omogočila manipulacijo nastavitev žrtvinih storitev kriptovalute, vključno z:

• Dodajanje novega uporabnika z upravnimi privilegiji.
• Uporaba tega novega skrbniškega računa za ponovno konfiguracijo obstoječih bankomatov.
• Preusmeritev vseh neveljavnih plačil v lastno denarnico.

Kolikor lahko vidimo, to pomeni, da so bili izvedeni napadi omejeni na nakazila ali dvige, kjer je stranka naredila napako.

Zdi se, da v takšnih primerih namesto, da bi upravljavec bankomata pobral napačno usmerjena sredstva, da bi jih pozneje lahko povrnil ali pravilno preusmeril ...

… sredstva bi šla neposredno in nepovratno k napadalcem.

General Bytes ni povedal, kako je ta napaka prišla do pozornosti, čeprav si predstavljamo, da bi kateri koli operater bankomata, ki bi bil soočen s klicem podpore o neuspeli transakciji, hitro opazil, da so bile njegove nastavitve storitev spremenjene, in sprožil alarm.

Kazalci kompromisa

Zdelo se je, da so napadalci za seboj pustili različne znake svoje dejavnosti, tako da je generalu Bytesu uspelo identificirati številne t.i. Kazalci kompromisa (IoC), da svojim uporabnikom pomagajo prepoznati vdrte konfiguracije CAS.

(Seveda ne pozabite, da odsotnost IoC-jev ne zagotavlja odsotnosti kakršnih koli napadalcev, vendar so znani IoC-ji priročno mesto za začetek, ko gre za odkrivanje groženj in odziv nanje.)

Na srečo, morda zaradi dejstva, da se je to izkoriščanje zanašalo na neveljavna plačila, namesto da bi napadalcem omogočilo neposredno izpraznitev bankomatov, skupne finančne izgube v tem incidentu niso večje od večmilijonski dolar zneski pogosto povezana z zmote s kriptovalutami.

General Bytes je včeraj [2022-08-22] trdil, da je »Incident je bil prijavljen češki policiji. Skupna škoda, povzročena upravljavcem bankomatov glede na njihove povratne informacije, znaša 16,000 ameriških dolarjev.«

Podjetje je tudi samodejno deaktiviralo vse bankomate, ki jih je upravljalo v imenu svojih strank, zato je od teh strank zahtevalo, da se prijavijo in pregledajo svoje nastavitve, preden ponovno aktivirajo svoje naprave na bankomatih.

Kaj storiti?

General Bytes je uvrstil na seznam 11-stopenjski postopek ki jih morajo stranke upoštevati, da bi odpravile to težavo, vključno z:

• Zaplata strežnik CAS.
• Pregled nastavitev požarnega zidu da omejite dostop na čim manj uporabnikov omrežja.
• Deaktiviranje bankomatov tako da se lahko strežnik ponovno prikaže za pregled.
• Pregled vseh nastavitev, vključno z vsemi lažnimi terminali, ki so bili morda dodani.
• Ponovno aktiviranje terminalov šele po zaključku vseh korakov za lov na grožnje.

Mimogrede, ta napad je močan opomnik, zakaj sodoben odziv na grožnje ne gre zgolj za krpanje lukenj in odstranjevanje zlonamerne programske opreme.

V tem primeru kriminalci niso vsadili zlonamerne programske opreme: napad je bil organiziran preprosto z zlonamernimi spremembami konfiguracije, pri čemer sta osnovni operacijski sistem in strežniška programska oprema ostala nedotaknjena.

Ni dovolj časa ali osebja?
Več o tem Upravljano odkrivanje in odziv Sophos:
24/7 lov na grožnje, odkrivanje in odziv  ▶

---

Predstavljena slika namišljenih bitcoinov prek Licenca Unsplash.