Bitcoin ATM müşterileri, aslında bir uygulama olan video yüklemesiyle hacklendi

İşletim sistemi tarihinde çok sayıda askeri kelime oyunu var.

Unix ünlü olarak bilinen bir sürü personele sahiptir. Ana Sayı, sisteminizdeki disk sürücüleri, klavyeler ve web kameraları gibi aygıt taburlarını organize eden.

Microsoft bir zamanlar görünüşte yetersiz olanlarla mücadele etti Genel başarısızlıkDOS disklerinizi okumaya çalışırken ve başarısız olurken düzenli olarak tespit edilen.

Linux zaman zaman sorun yaşıyor Albay Panikkimin kimliği görünüm Bunu genellikle kayıp veriler, potansiyel olarak zarar görmüş dosya sistemleri ve acilen gücü kapatıp bilgisayarınızı yeniden başlatma ihtiyacı izler.

Ve bir Çek kripto para birimi şirketi, adında bir kişilikten makul bir şekilde bekleyebileceğiniz türden bir güvenilirlik almıyor gibi görünüyor. Genel Bayt.

Aslında, Genel Bayt istenmeyen izinsiz girişlere ve kripto para birimi fonlarına yetkisiz erişime ne yazık ki yabancı olmayan bir şirket olan şirketin kendisinin adıdır.

Bir kez talihsizlik

Ağustos 2022'de General Bytes'in nasıl olduğunu yazdık. düşmüş kurban uzaktaki saldırganların bir müşterinin ATM sunucusunu kandırarak "yepyeni bir sistem kurun" yapılandırma sayfalarına erişim sağlamasına neden olan sunucu taraflı bir hata.

Bir iPhone veya Android cihazını daha önce yeniden yüklediyseniz, orijinal kurulumu gerçekleştiren kişinin, özellikle birincil kullanıcıyı yapılandırması ve yepyeni bir kilit kodu seçmesi nedeniyle, cihaz üzerinde kontrol sahibi olduğunu bileceksiniz. veya işlem sırasında parola.

Bununla birlikte, modern cep telefonlarının işletim sistemini, uygulamaları ve sistem ayarlarını yeniden yükleyip yeniden yapılandırmadan önce, eski kullanıcının tüm verileri dahil olmak üzere cihazın eski içeriğini zorla sildiğini de bileceksiniz.

Başka bir deyişle, yeniden başlayabilirsiniz, ancak son kullanıcının bıraktığı yerden devam edemezsiniz, aksi takdirde bir sistem geri yüklemesi (veya DFU'nun kısaltması) kullanabilirsiniz. cihaz üretici yazılımı yükseltmesi, Apple'ın dediği gibi) önceki sahibinin dosyalarına ulaşmak için.

Ancak General Bytes ATM sunucusunda, saldırganları “sıfırdan başla” kurulum ekranlarına sokan yetkisiz erişim yolu, önce sızan cihazdaki hiçbir veriyi etkisiz hale getirmedi…

… böylece dolandırıcılar sunucunun "yeni bir yönetici hesabı oluşturma" sürecini kötüye kullanarak bir sunucuda ek bir yönetici kullanıcı oluşturabilir. Mevcut sistem.

Twice dikkatsizlik gibi görünüyor

Geçen sefer General Bytes, suçluların herhangi bir kötü amaçlı kod yerleştirmediği, sizin kötü amaçlı yazılımsız bir saldırı diyebileceğiniz bir saldırıya maruz kaldı.

2022 saldırısı, temelde yatan işletim sistemi ve sunucu yazılımına dokunulmadan kötü niyetli yapılandırma değişiklikleri yoluyla düzenlendi.

Saldırganlar bu kez bir daha geleneksel yaklaşım bir implanta dayanan: kötü amaçlı yazılım veya kötü amaçlı yazılım kısacası, bu bir güvenlik boşluğu yoluyla yüklendi ve ardından "alternatif kontrol paneli" diyebileceğiniz bir şey olarak kullanıldı.

Basit bir ifadeyle: Dolandırıcılar, daha sonra izinsiz olarak girebilmeleri için bir arka kapı kurmalarına izin veren bir hata buldular.

General Bytes'in dediği gibi:

Saldırgan, terminaller tarafından video yüklemek için kullanılan ana hizmet arayüzü aracılığıyla kendi Java uygulamasını uzaktan yükleyebildi ve batm kullanıcı ayrıcalıklarını kullanarak çalıştırabildi.

Bir ATM'nin, sanki bir tür topluluk blog sitesi veya sosyal medya hizmetiymiş gibi, uzaktan görüntü ve video yükleme seçeneğine neden ihtiyaç duyduğundan emin değiliz…

…ancak Coin ATM Sunucu sistemi, muhtemelen ATM'leri ziyaret eden müşterilere reklamların ve diğer özel tekliflerin doğrudan tanıtılabilmesi için böyle bir özellik içeriyor gibi görünüyor.

Göründüğü gibi olmayan yüklemeler

Ne yazık ki, güvenilir (veya en azından kimliği doğrulanmış bir kaynaktan) gelse bile yüklemelere izin veren herhangi bir sunucunun birkaç şeye dikkat etmesi gerekir:

• Yüklemelerin, dışarıdan hemen okunamayacakları bir hazırlama alanına yazılması gerekir. Bu, güvenilmeyen kullanıcıların, markanızın damgasına sahip olduğu için yasal görünen bir URL aracılığıyla sunucunuzu yetkisiz veya uygunsuz içerik için geçici bir dağıtım sistemine dönüştürmemesini sağlamaya yardımcı olur.
• İzin verilen dosya türleriyle eşleştiğinden emin olmak için yüklemelerin incelenmesi gerekir. Bu, hileli kullanıcıların yükleme alanınızı, yalnızca sonraki bir ziyaretçiye sunulmak yerine daha sonra sunucuda yürütülebilecek komut dosyaları veya programlarla doldurarak bubi tuzağına düşürmelerine engel olur.
• Yüklemelerin mümkün olan en kısıtlayıcı erişim izinleriyle kaydedilmesi gerekir, böylece bubi tuzaklı veya bozuk dosyalar yanlışlıkla çalıştırılamaz ve hatta sistemin daha güvenli bölümlerinden erişilemez.

Görünüşe göre General Bytes bu önlemleri almadı ve bunun sonucunda saldırganlar çok çeşitli gizliliği bozma ve kripto para kopyalama eylemleri gerçekleştirebildi.

Görünüşe göre kötü niyetli faaliyet şunları içeriyordu: sıcak cüzdanlar ve borsalardaki fonlara erişmek için kullanılan kimlik doğrulama kodlarının okunması ve şifrelerinin çözülmesi; sıcak cüzdanlardan para göndermek; kullanıcı çerçevelerini ve parola karmalarını indirme; müşterinin kriptografik anahtarlarının alınması; 2FA'yı kapatmak; ve olay günlüklerine erişme.

Ne yapalım?

• General Bytes Coin ATM sistemlerini çalıştırıyorsanız, şirketini oku ihlal raporu, size sözde IoC'leri nasıl arayacağınızı söyler (uzlaşma göstergeleri) ve yamaların yayınlanmasını beklerken ne yapacağınız.

Şirketin, hem bağımsız Coin ATM Sunucularının hem de kendi bulut tabanlı sistemlerinin (sunucularınızı sizin için çalıştırmaları karşılığında tüm işlemlerde General Bytes'a %0.5 vergi ödediğiniz) etkilendiğini doğruladığını unutmayın.

İlginç bir şekilde, General Bytes bunun olacağını bildiriyor “bulut hizmetini kapatıyor”ve ısrarla “kendi bağımsız sunucunuzu kurmanız gerekecek”. (Rapor bir son tarih vermiyor, ancak şirket halihazırda aktif olarak geçiş desteği sunuyor.)

General Bytes, şirketi diğer çağdaş hizmet odaklı şirketlerin çoğunun aksi istikametine götürecek bir geri dönüşte ısrar ediyor: "Birkaç operatöre aynı anda erişim sağlayan bir sistemi güvenceye almak teorik (ve pratik olarak) imkansız."

• Son zamanlarda bir General Bytes ATM kullandıysanız, Ne yapmanız gerektiği ve fonlarınızdan herhangi birinin risk altında olup olmadığı konusunda tavsiye almak için kripto para birimi borsanız veya borsalarınızla iletişime geçin.

• Çevrimiçi bir hizmetle ilgilenen bir programcıysanız, kendi kendine barındırılan veya bulut tarafından barındırılan, yüklemeler ve yükleme dizinleri hakkında yukarıdaki tavsiyemizi okuyun ve dikkate alın.

• Bir kripto para meraklısıysanız, sözde kripto para zulanızdan olabildiğince az tutun sıcak cüzdanlar.

Sıcak cüzdanlar, esas olarak, bir anda (belki otomatik olarak) işlem yapmaya hazır olan ve genellikle kendi kriptografik anahtarlarınızı bir başkasına emanet etmenizi veya geçici olarak bir veya daha fazla cüzdanına para aktarmanızı gerektiren fonlardır.

---

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
• Kaynak: https://nakedsecurity.sophos.com/2023/03/20/bitcoin-atm-customers-hacked-by-video-upload-that-was-actually-an-app/