Du skulle inte veta det från att besöka företagets huvudwebbplats, men General Bytes, ett tjeckiskt företag som säljer Bitcoin-uttagsautomater, är uppmanar sina användare till åtgärda en kritisk bugg som dränerar pengar i sin serverprogramvara.
Företaget hävdar en världsomspännande försäljning av mer än 13,000 5000 bankomater, som säljs för XNUMX XNUMX USD och uppåt, beroende på funktioner och utseende.
Alla länder har inte varit vänliga mot uttagsautomater för kryptovaluta – den brittiska tillsynsmyndigheten, till exempel, varnade i mars 2022 att ingen av de uttagsautomater som var i drift i landet vid den tiden var officiellt registrerade, och sa att det skulle vara det "kontakta operatörerna och instruera att maskinerna ska stängas av".
Vi gick för att kolla på vår lokala krypto-bankomat vid den tiden och fann att den visade ett "Terminal offline"-meddelande. (Enheten har sedan tagits bort från köpcentret där den installerades.)
Ändå säger General Bytes att de betjänar kunder i mer än 140 länder, och dess globala karta över bankomatplatser visar närvaro på alla kontinenter utom Antarktis.
Säkerhetsincident rapporterad
Enligt General Bytes produktkunskapsbas, en "säkerhetsincident" på en allvarlighetsnivå av Högsta var upptäckte förra veckan.
Med företagets egna ord:
Angriparen kunde skapa en administratörsanvändare på distans via CAS administrativa gränssnitt via ett URL-anrop på sidan som används för standardinstallationen på servern och skapa den första administrationsanvändaren.
Så vitt vi kan säga, CAS är en förkortning för Coin ATM Server, och varje operatör av General Bytes kryptovalutauttagsautomater behöver en av dessa.
Du kan vara värd för ditt CAS var du vill, verkar det som, inklusive på din egen hårdvara i ditt eget serverrum, men General Bytes har ett specialavtal med värdföretaget Digital Ocean för en lågkostnadsmolnlösning. (Du kan också låta General Bytes köra servern åt dig i molnet i utbyte mot en minskning med 0.5 % av alla kontanttransaktioner.)
Enligt incidentrapporten utförde angriparna en portskanning av Digital Oceans molntjänster och letade efter lyssnande webbtjänster (portar 7777 eller 443) som identifierade dem som General Bytes CAS-servrar, för att hitta en lista över potentiella offer.
Observera att sårbarheten som utnyttjas här inte berodde på Digital Ocean eller begränsad till molnbaserade CAS-instanser. Vi gissar att angriparna helt enkelt bestämde att Digital Ocean var ett bra ställe att börja leta. Kom ihåg att med en mycket höghastighetsanslutning till internet (t.ex. 10 Gbit/sek), och med hjälp av fritt tillgänglig programvara, kan beslutsamma angripare nu skanna hela IPv4-internetadressutrymmet på timmar eller till och med minuter. Det är så offentliga sårbarhetssökmotorer som Shodan och Censys fungerar, som kontinuerligt trålar internet för att upptäcka vilka servrar och vilka versioner som för närvarande är aktiva på vilka onlineplatser.
Uppenbarligen tillät en sårbarhet i själva CAS angriparna att manipulera inställningarna för offrets kryptovalutatjänster, inklusive:
- Lägger till en ny användare med administrativa rättigheter.
- Använder detta nya administratörskonto för att konfigurera om befintliga uttagsautomater.
- Omdirigerar alla ogiltiga betalningar till en egen plånbok.
Så vitt vi kan se betyder detta att attackerna som utfördes var begränsade till överföringar eller uttag där kunden gjorde ett misstag.
I sådana fall verkar det som, istället för att bankomatoperatören samlar in de missriktade medlen så att de senare kan återbetalas eller omdirigeras korrekt...
...medlen skulle gå direkt och oåterkalleligt till angriparna.
General Bytes sa inte hur detta fel kom till dess uppmärksamhet, även om vi föreställer oss att alla bankomatoperatörer som ställs inför ett supportsamtal om en misslyckad transaktion snabbt skulle märka att deras serviceinställningar hade manipulerats och larma.
Indikatorer för kompromiss
Angriparna, tycktes det, lämnade efter sig olika tecken på sin aktivitet, så att General Bytes kunde identifiera åtskilliga s.k. Indikatorer för kompromiss (IoCs) för att hjälpa sina användare att identifiera hackade CAS-konfigurationer.
(Kom ihåg, naturligtvis, att frånvaron av IoC inte garanterar frånvaron av några angripare, men kända IoC: er är ett praktiskt ställe att börja när det kommer till hotupptäckt och respons.)
Lyckligtvis, kanske på grund av det faktum att detta utnyttjande förlitade sig på ogiltiga betalningar, snarare än att låta angriparna tömma uttagsautomater direkt, uppstår inte totala ekonomiska förluster i denna incident. mångmiljoner dollar mängder ofta förknippade med cryptocurrency blunders.
General Bytes hävdade i går [2022-08-22] att "[o]ncidenten rapporterades till tjeckisk polis. Den totala skadan för bankomatoperatörer baserat på deras feedback är 16,000 XNUMX USD.”
Företaget inaktiverade också automatiskt alla uttagsautomater som det hanterade på uppdrag av sina kunder, vilket krävde att dessa kunder loggar in och granskar sina egna inställningar innan de återaktiverar sina uttagsautomater.
Vad göra?
General Bytes har listat en 11-stegsprocess som dess kunder måste följa för att åtgärda detta problem, inklusive:
- Patching CAS-servern.
- Granska brandväggsinställningar för att begränsa åtkomsten till så få nätverksanvändare som möjligt.
- Inaktivera ATM-terminaler så att servern kan tas upp igen för granskning.
- Granska alla inställningar, inklusive alla falska terminaler som kan ha lagts till.
- Återaktivera terminaler först efter att ha slutfört alla hotjaktssteg.
Denna attack är förresten en stark påminnelse om varför samtida hotrespons handlar inte bara om att lappa hål och ta bort skadlig programvara.
I det här fallet implanterade brottslingarna inte någon skadlig kod: attacken orkestrerades helt enkelt genom illvilliga konfigurationsändringar, med det underliggande operativsystemet och serverprogramvaran orörd.
Inte tillräckligt med tid eller personal?
Läs mer om Sophos Managed Detection and Response:
24/7 hotjakt, upptäckt och respons ▶
Utvald bild av föreställda Bitcoins via Unsplash-licens.
- bankomat
- blockchain
- BTC
- coingenius
- crypto
- kryptovaluta
- cryptocurrency plånböcker
- kryptoväxling
- Cybersäkerhet
- nätbrottslingar
- Cybersäkerhet
- säkerhetstjänsten
- digitala plånböcker
- brandvägg
- Allmänna bytes
- kaspersky
- malware
- Mcafee
- Naken säkerhet
- NexBLOC
- fantom tillbakadragande
- plato
- plato ai
- Platon Data Intelligence
- Platon spel
- PlatonData
- platogaming
- VPN
- sårbarhet
- webbplats säkerhet
- zephyrnet
![S3 Ep 126: Priset för snabbt mode (och funktionskrypning) [Ljud + text]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-300x156.png "S3 Ep 126: Priset för snabbt mode (och funktionskrypning) [Ljud + text]")
