คุณคงไม่รู้จากการเยี่ยมชมเว็บไซต์หลักของบริษัท แต่ General Bytes บริษัทเช็กที่ขาย Bitcoin ATM คือ กระตุ้นให้ผู้ใช้ ไปยัง แก้ไขข้อผิดพลาดการระบายน้ำที่สำคัญ ในซอฟต์แวร์เซิร์ฟเวอร์
บริษัทอ้างว่ามียอดขายทั่วโลกมากกว่า 13,000 เครื่องเอทีเอ็ม ซึ่งขายปลีกในราคา $5000 ขึ้นไป ขึ้นอยู่กับคุณสมบัติและรูปลักษณ์
ไม่ใช่ทุกประเทศที่ให้ความกรุณาต่อตู้เอทีเอ็มของสกุลเงินดิจิทัล – หน่วยงานกำกับดูแลของสหราชอาณาจักร เช่น เตือนในเดือนมีนาคม 2022 ว่าไม่มีเครื่องเอทีเอ็มที่ดำเนินการในประเทศในขณะนั้นได้รับการจดทะเบียนอย่างเป็นทางการ และกล่าวว่ามันจะเป็น “ติดต่อโอเปอเรเตอร์เพื่อสั่งปิดเครื่อง”.
เราไปตรวจสอบตู้เอทีเอ็ม crypto ในพื้นที่ของเราและพบว่ามีข้อความ "Terminal ออฟไลน์" (อุปกรณ์ได้ถูกลบออกจากศูนย์การค้าที่ติดตั้งไว้)
อย่างไรก็ตาม General Bytes กล่าวว่าให้บริการลูกค้าในกว่า 140 ประเทศ และแผนที่สถานที่ตั้งทั่วโลกของตู้ ATM แสดงให้เห็นการมีอยู่ในทุกทวีป ยกเว้นแอนตาร์กติกา
รายงานเหตุการณ์ด้านความปลอดภัย
ตามฐานความรู้ของผลิตภัณฑ์ General Bytes "เหตุการณ์ด้านความปลอดภัย" ที่ระดับความรุนแรง สูงสุด คือ ค้นพบเมื่อสัปดาห์ที่แล้ว.
ในคำพูดของบริษัท:
ผู้โจมตีสามารถสร้างผู้ดูแลระบบจากระยะไกลผ่านอินเทอร์เฟซการดูแลระบบ CAS ผ่านการเรียก URL บนหน้าที่ใช้สำหรับการติดตั้งเริ่มต้นบนเซิร์ฟเวอร์และสร้างผู้ใช้การดูแลระบบรายแรก
เท่าที่เราสามารถบอกได้ CAS สั้นสำหรับ เซิฟเวอร์ตู้เอทีเอ็มและผู้ให้บริการ ATM ของ General Bytes cryptocurrency ทุกคนต้องการหนึ่งในนั้น
คุณสามารถโฮสต์ CAS ของคุณได้ทุกที่ที่ต้องการ รวมถึงบนฮาร์ดแวร์ของคุณเองในห้องเซิร์ฟเวอร์ของคุณเอง แต่ General Bytes มีข้อตกลงพิเศษกับบริษัทโฮสติ้ง Digital Ocean สำหรับโซลูชันระบบคลาวด์ราคาประหยัด (คุณยังสามารถให้ General Bytes เรียกใช้เซิร์ฟเวอร์ให้คุณในระบบคลาวด์เพื่อแลกกับการลดการทำธุรกรรมเงินสดทั้งหมด 0.5%)
ตามรายงานเหตุการณ์ ผู้โจมตีทำการสแกนพอร์ตของบริการคลาวด์ของ Digital Ocean โดยมองหาบริการเว็บที่รับฟัง (พอร์ต 7777 หรือ 443) ที่ระบุว่าเป็นเซิร์ฟเวอร์ General Bytes CAS เพื่อค้นหารายชื่อผู้ที่อาจเป็นเหยื่อ
โปรดทราบว่าช่องโหว่ที่ใช้ที่นี่ไม่ได้อยู่ที่ Digital Ocean หรือจำกัดเฉพาะอินสแตนซ์ CAS ที่ใช้ระบบคลาวด์ เราเดาว่าผู้โจมตีเพียงแค่ตัดสินใจว่า Digital Ocean เป็นสถานที่ที่ดีในการเริ่มมองหา โปรดจำไว้ว่าด้วยการเชื่อมต่ออินเทอร์เน็ตความเร็วสูงมาก (เช่น 10Gbit/วินาที) และการใช้ซอฟต์แวร์ที่มีให้ใช้งานฟรี ผู้โจมตีสามารถสแกนพื้นที่ที่อยู่อินเทอร์เน็ต IPv4 ทั้งหมดได้ในเวลาไม่กี่ชั่วโมงหรือหลายนาที นั่นเป็นวิธีที่เสิร์ชเอ็นจิ้นที่มีช่องโหว่สาธารณะ เช่น Shodan และ Censys ทำการสืบค้นข้อมูลทางอินเทอร์เน็ตอย่างต่อเนื่องเพื่อค้นหาว่าเซิร์ฟเวอร์ใดและเวอร์ชันใดทำงานอยู่ในตำแหน่งออนไลน์ใด
เห็นได้ชัดว่าช่องโหว่ใน CAS เองทำให้ผู้โจมตีสามารถจัดการการตั้งค่าบริการ cryptocurrency ของเหยื่อได้ ซึ่งรวมถึง:
- การเพิ่มผู้ใช้ใหม่ ด้วยสิทธิ์ของผู้ดูแลระบบ
- การใช้บัญชีผู้ดูแลระบบใหม่นี้ เพื่อกำหนดค่าตู้เอทีเอ็มที่มีอยู่ใหม่
- โอนการชำระเงินที่ไม่ถูกต้องทั้งหมด สู่กระเป๋าสตางค์ของตัวเอง
เท่าที่เราเห็น นี่หมายถึงการโจมตีที่กระทำถูกจำกัดเฉพาะการโอนหรือถอนที่ลูกค้าทำผิดพลาด
ในกรณีเช่นนี้ ดูเหมือนว่า แทนที่จะให้ผู้ดำเนินการ ATM เก็บเงินที่ส่งผิดทางเพื่อที่พวกเขาจะได้ชำระเงินคืนหรือเปลี่ยนเส้นทางอย่างถูกต้องในภายหลัง...
... เงินทุนจะส่งตรงไปยังผู้โจมตีอย่างไม่สามารถย้อนกลับได้
General Bytes ไม่ได้บอกว่าข้อบกพร่องนี้เกิดขึ้นได้อย่างไร แม้ว่าเราคิดว่าผู้ให้บริการ ATM รายใดก็ตามที่ต้องเผชิญกับการสนับสนุนทางโทรศัพท์เกี่ยวกับการทำธุรกรรมที่ล้มเหลวจะสังเกตเห็นได้อย่างรวดเร็วว่าการตั้งค่าบริการของพวกเขาถูกดัดแปลงและแจ้งเตือน
ตัวบ่งชี้การประนีประนอม
ดูเหมือนว่าผู้โจมตีจะทิ้งสัญญาณปากโป้งต่าง ๆ ของกิจกรรมของพวกเขาไว้เพื่อให้ General Bytes สามารถระบุสิ่งที่เรียกว่า ตัวบ่งชี้การประนีประนอม (IoC) เพื่อช่วยให้ผู้ใช้ระบุการกำหนดค่า CAS ที่ถูกแฮ็ก
(อย่าลืมว่าการไม่มี IoC ไม่ได้รับประกันว่าจะไม่มีผู้โจมตี แต่ IoC ที่รู้จักเป็นที่ที่สะดวกในการเริ่มต้นในการตรวจจับและตอบสนองต่อภัยคุกคาม)
โชคดีที่บางทีอาจเป็นเพราะความจริงที่ว่าการหาประโยชน์นี้อาศัยการชำระเงินที่ไม่ถูกต้อง แทนที่จะปล่อยให้ผู้โจมตีใช้เครื่องเอทีเอ็มโดยตรง ความสูญเสียทางการเงินโดยรวมในเหตุการณ์นี้ไม่ได้เกิดขึ้น เงินล้าน จำนวน มักเกี่ยวข้อง กับ ความผิดพลาดของสกุลเงินดิจิทัล.
General Bytes อ้างสิทธิ์เมื่อวานนี้ [2022-08-22] ว่า “[i] เหตุการณ์ถูกรายงานไปยังตำรวจเช็ก ความเสียหายทั้งหมดที่เกิดขึ้นกับผู้ให้บริการ ATM ตามความคิดเห็นของพวกเขาคือ 16,000 เหรียญสหรัฐ”
บริษัทยังปิดการใช้งาน ATM ใดๆ ที่จัดการในนามของลูกค้าโดยอัตโนมัติ ดังนั้นลูกค้าเหล่านั้นจึงต้องเข้าสู่ระบบและตรวจสอบการตั้งค่าของตนเองก่อนที่จะเปิดใช้งานอุปกรณ์ ATM อีกครั้ง
จะทำอย่างไร?
General Bytes ได้ระบุ an ขั้นตอน 11 ที่ลูกค้าต้องปฏิบัติตามเพื่อแก้ไขปัญหานี้ รวมถึง:
- ปะ เซิร์ฟเวอร์ CAS
- กำลังตรวจสอบการตั้งค่าไฟร์วอลล์ เพื่อจำกัดการเข้าถึงผู้ใช้เครือข่ายให้น้อยที่สุด
- การปิดใช้งานเครื่องเอทีเอ็ม เพื่อให้เซิร์ฟเวอร์กลับมาตรวจสอบได้อีกครั้ง
- กำลังตรวจสอบการตั้งค่าทั้งหมดรวมถึงเทอร์มินัลปลอมที่อาจเพิ่มเข้าไป
- การเปิดใช้งานเทอร์มินัลอีกครั้ง หลังจากทำตามขั้นตอนการไล่ล่าภัยคุกคามทั้งหมดแล้วเท่านั้น
การโจมตีนี้เป็นเครื่องเตือนใจว่าทำไมการตอบสนองต่อภัยคุกคามร่วมสมัย ไม่ใช่แค่การอุดรูและลบมัลแวร์.
ในกรณีนี้ อาชญากรไม่ได้ฝังมัลแวร์ใดๆ ไว้: การโจมตีเกิดขึ้นจากการเปลี่ยนแปลงการกำหนดค่าที่มุ่งร้าย โดยที่ระบบปฏิบัติการและซอฟต์แวร์เซิร์ฟเวอร์พื้นฐานยังคงไม่ถูกแตะต้อง
เวลาหรือพนักงานไม่เพียงพอ?
เรียนรู้เพิ่มเติมเกี่ยวกับ การตรวจจับและการตอบสนองที่มีการจัดการของ Sophos:
การตามล่า การตรวจจับ และการตอบสนองตลอด 24 ชั่วโมงทุกวัน ▶
ภาพเด่นของ Bitcoins ในจินตนาการผ่าน ใบอนุญาต Unsplash.
- ATM
- blockchain
- BTC
- เหรียญอัจฉริยะ
- การเข้ารหัสลับ
- cryptocurrency
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- ไบต์ทั่วไป
- Kaspersky
- มัลแวร์
- แมคคาฟี
- ความปลอดภัยเปล่า
- เน็กซ์บล๊อก
- ผีถอนตัว
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความอ่อนแอ
- ความปลอดภัยของเว็บไซต์
- ลมทะเล