Клієнти біткойн-банкоматів зламані шляхом завантаження відео, яке насправді було програмою

В історії операційної системи є багато військових каламбурів.

Відомо, що Unix має цілий ряд співробітників, відомих як Основний номер, які організовують у вашій системі батальйони таких пристроїв, як дисководи, клавіатури та веб-камери.

Колись корпорація Майкрософт боролася з явно некомпетентними Загальний збій, якого регулярно помічали, намагаючись прочитати ваші диски DOS і не вдаючись.

У Linux періодично виникають проблеми з Полковник ПанікЯких, зовнішній вигляд зазвичай супроводжується втратою даних, потенційно пошкодженими файловими системами та терміновою потребою вимкнути живлення та перезавантажити комп’ютер.

І чеська криптовалютна компанія, схоже, не отримує такої надійності, якої ви могли б розумно очікувати від особистості під назвою Загальні байти.

Насправді, Загальні байти це назва самої компанії, бізнесу, якому, на жаль, не чужі небажані вторгнення та несанкціонований доступ до криптовалютних фондів.

Один раз - нещастя

У серпні 2022 року ми писали, як було у General Bytes впала жертва до помилки на стороні сервера, через яку віддалені зловмисники могли обманом змусити сервер банкомату клієнта надати їм доступ до сторінок конфігурації «налаштувати абсолютно нову систему».

Якщо ви коли-небудь оновлювали iPhone або пристрій Android, ви знаєте, що особа, яка виконує початкове налаштування, отримує контроль над пристроєм, зокрема тому, що вона може налаштувати основного користувача та вибрати абсолютно новий код блокування або парольну фразу під час процесу.

Однак ви також знаєте, що сучасні мобільні телефони примусово стирають старий вміст пристрою, включно з усіма старими даними користувача, перш ніж перевстановити та повторно налаштувати операційну систему, програми та параметри системи.

Іншими словами, ви можете почати знову, але ви не можете продовжити, де зупинився останній користувач, інакше ви можете використати перепрошивку системи (або DFU, скорочення від оновлення мікропрограми пристрою, як це називає Apple), щоб отримати доступ до файлів попереднього власника.

Однак на сервері банкоматів General Bytes шлях несанкціонованого доступу, через який зловмисники перейшли на екрани налаштування «почати з нуля», не нейтралізував спочатку будь-які дані на проникнутому пристрої…

…щоб шахраї могли зловживати серверним процесом «налаштування нового адміністративного облікового запису» для створення додаткового користувача адміністратора на існуючої системи.

Двічі виглядає як необережність

Минулого разу General Bytes зазнав такої атаки, як можна назвати, без зловмисного програмного забезпечення, коли злочинці не впровадили жодного шкідливого коду.

Атака 2022 року була організована просто через зловмисні зміни конфігурації, при цьому базова операційна система та серверне програмне забезпечення залишилися недоторканими.

Цього разу зловмисники використали a більш традиційний підхід який покладався на імплантат: шкідливе програмне забезпечення або шкідливих програм коротше кажучи, це було завантажено через лазівку безпеки, а потім використано як те, що ви можете назвати «альтернативною панеллю керування».

Простою англійською мовою: шахраї знайшли помилку, яка дозволила їм встановити бекдор, щоб потім вони могли проникати без дозволу.

Як сказав Дженерал Байтс:

Зловмисник зміг завантажити власний Java-додаток віддалено через головний сервісний інтерфейс, який використовується терміналами для завантаження відео та запустити його, використовуючи привілеї користувача batm.

Ми не впевнені, навіщо банкомату потрібна опція віддаленого завантаження зображень і відео, ніби це якийсь сайт спільноти для ведення блогів чи служба соціальних мереж…

…але здається, що система Coin ATM Server містить саме таку функцію, ймовірно, щоб оголошення та інші спеціальні пропозиції могли рекламуватися безпосередньо клієнтам, які відвідують банкомати.

Завантаження, які не є такими, якими вони здаються

На жаль, будь-який сервер, який дозволяє завантаження, навіть якщо вони надходять із надійного (або принаймні автентифікованого джерела), має бути обережним щодо кількох речей:

• Завантажені файли потрібно записувати в проміжну область, де їх не можна відразу прочитати ззовні. Це допомагає гарантувати, що ненадійні користувачі не зможуть перетворити ваш сервер на тимчасову систему доставки несанкціонованого або неприйнятного вмісту через URL-адресу, яка виглядає легітимною, оскільки має імприматур вашого бренду.
• Завантаження потрібно перевірити, щоб переконатися, що вони відповідають дозволеним типам файлів. Це допомагає завадити користувачам-шахраям замінувати вашу область завантаження, засмічуючи її сценаріями чи програмами, які згодом можуть бути виконані на сервері, а не просто передані наступному відвідувачу.
• Завантажені файли потрібно зберігати з максимально обмеженими правами доступу, щоб заміновані або пошкоджені файли не могли бути випадково запущені або навіть доступні з безпечніших частин системи.

General Bytes, схоже, не вжив цих запобіжних заходів, у результаті чого зловмисники змогли виконати широкий спектр дій із порушенням конфіденційності та вилучення криптовалюти.

Шкідлива діяльність, очевидно, включала: зчитування та розшифровку кодів автентифікації, які використовуються для доступу до коштів у гарячих гаманцях та біржах; відправка коштів з гарячих гаманців; завантаження імен користувачів і хешів паролів; отримання криптографічних ключів клієнта; відключення 2FA; і доступ до журналів подій.

Що ж робити?

• Якщо ви використовуєте системи банкоматів General Bytes Coin, читати компанії звіт про порушення, який розповідає вам, як шукати так звані IoC (індикатори компромісу), і що робити, поки ви чекаєте на публікацію виправлень.

Зверніть увагу, що компанія підтвердила, що постраждали як автономні сервери Coin ATM, так і її власні хмарні системи (де ви сплачуєте General Bytes збір у розмірі 0.5% з усіх транзакцій у обмін на те, що вони запускають ваші сервери для вас).

Інтригуюче те, що генерал Байтс повідомляє, що так і буде «закриття свого хмарного сервісу», і наполягаючи на тому «вам потрібно буде встановити власний автономний сервер». (У звіті не вказано кінцевий термін, але компанія вже активно пропонує підтримку міграції.)

Генерал Байтс наполягає на тому, що в повороті, який приведе компанію в протилежному напрямку до більшості інших сучасних компаній, орієнтованих на надання послуг. «Теоретично (і практично) неможливо захистити систему, що надає доступ кільком операторам одночасно, якщо деякі з них є поганими акторами».

• Якщо ви нещодавно користувалися банкоматом General Bytes, зв’яжіться зі своєю біржею або біржами криптовалют, щоб отримати пораду щодо того, що робити та чи знаходяться ваші кошти під загрозою.

• Якщо ви програміст, який доглядає за онлайн-сервісом, Незалежно від того, розміщено воно самостійно чи розміщено в хмарі, прочитайте та прислухайтеся до наших порад щодо завантажень і каталогів завантажень.

• Якщо ви ентузіаст криптовалюти, зберігайте якомога менше своїх криптокойн у т.зв гарячі гаманці.

Гарячі гаманці — це, по суті, кошти, які готові торгувати миттєво (можливо, автоматично), і зазвичай вимагають або довірити свої власні криптографічні ключі комусь іншому, або тимчасово перевести кошти в один або кілька їхніх гаманців.

---

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://nakedsecurity.sophos.com/2023/03/20/bitcoin-atm-customers-hacked-by-video-upload-that-was-actually-an-app/