Ви не дізнаєтесь про це, відвідавши головний веб-сайт компанії, але General Bytes, чеська компанія, яка продає банкомати з біткойнами, закликаючи своїх користувачів до виправте критичну помилку, яка виснажує гроші у своєму серверному програмному забезпеченні.
Компанія стверджує, що в усьому світі продає понад 13,000 5000 банкоматів, які продаються вартістю від XNUMX доларів і вище, залежно від функцій і зовнішнього вигляду.
Не всі країни доброзичливо поставилися до криптовалютних банкоматів – регулятор Великобританії, наприклад, попереджено в березні 2022 року що жоден з банкоматів, що працювали в країні на той час, не був офіційно зареєстрований, і сказав, що буде «зв’язок з операторами з вказівками про вимкнення машин».
Тоді ми перевірили наш місцевий криптографічний банкомат і виявили, що він відображає повідомлення «Термінал вимкнено». (Тоді пристрій було вилучено з торгового центру, де він був встановлений.)
Тим не менш, General Bytes каже, що обслуговує клієнтів у понад 140 країнах, а його глобальна карта розташування банкоматів показує присутність на всіх континентах, крім Антарктиди.
Повідомлено про інцидент безпеки
Згідно з базою знань про продукт General Bytes, «інцидент безпеки» з рівнем серйозності Найвищий було виявлено минулого тижня.
Власними словами компанії:
Зловмиснику вдалося дистанційно створити користувача адміністратора через адміністративний інтерфейс CAS за допомогою виклику URL-адреси на сторінці, яка використовується для інсталяції за замовчуванням на сервері та створення першого користувача адміністратора.
Наскільки ми можемо судити, CAS є абревіатурою Сервер банкоматів монет, і кожному оператору криптовалютних банкоматів General Bytes потрібен один із них.
Ви можете розмістити свій CAS будь-де, здається, у тому числі на власному обладнанні у власній серверній кімнаті, але General Bytes має спеціальну угоду з хостинговою компанією Digital Ocean щодо недорогого хмарного рішення. (Ви також можете дозволити General Bytes запускати сервер для вас у хмарі в обмін на 0.5% скорочення всіх грошових операцій.)
Згідно зі звітом про інцидент, зловмисники виконали сканування портів хмарних служб Digital Ocean, шукаючи веб-сервіси для прослуховування (порти 7777 або 443), які ідентифікували себе як сервери General Bytes CAS, щоб знайти список потенційних жертв.
Зауважте, що вразливість, використана тут, стосувалася не Digital Ocean і не обмежувалася хмарними екземплярами CAS. Ми припускаємо, що зловмисники просто вирішили, що Digital Ocean — гарне місце для початку пошуку. Пам’ятайте, що за допомогою дуже високошвидкісного підключення до Інтернету (наприклад, 10 Гбіт/с) і використання безкоштовного програмного забезпечення рішучі зловмисники тепер можуть просканувати весь адресний простір IPv4 за години чи навіть хвилини. Саме так працюють загальнодоступні системи пошуку вразливостей, такі як Shodan і Censys, постійно переглядаючи Інтернет, щоб виявити, які сервери та які версії зараз активні в яких онлайн-локаціях.
Очевидно, уразливість у самій CAS дозволила зловмисникам маніпулювати налаштуваннями криптовалютних служб жертви, зокрема:
- Додавання нового користувача з адміністративними привілеями.
- Використовуючи новий обліковий запис адміністратора переналаштувати існуючі банкомати.
- Відведення всіх недійсних платежів до власного гаманця.
Наскільки ми бачимо, це означає, що проведені атаки були обмежені переказами або зняттями, коли клієнт зробив помилку.
У таких випадках, здається, замість того, щоб оператор банкомату збирав неправильно спрямовані кошти, щоб потім їх можна було відшкодувати або правильно перенаправити...
…кошти надійдуть напряму і безповоротно до зловмисників.
Генерал Байтс не сказав, як цей недолік прийшов до його уваги, хоча ми припускаємо, що будь-який оператор банкомату, який зіткнувся зі службою підтримки щодо невдалої транзакції, швидко помітить, що налаштування його сервісу були підроблені, і підніме тривогу.
Показники компромісу
Нападники, здавалося, залишили різні ознаки своєї діяльності, тож генерал Байтс зміг ідентифікувати численні т.зв. Показники компромісу (IoCs), щоб допомогти своїм користувачам ідентифікувати зламані конфігурації CAS.
(Пам’ятайте, звичайно, що відсутність IoC не гарантує відсутність будь-яких зловмисників, але відомі IoC є зручним місцем для початку, коли мова йде про виявлення загроз і реагування на них.)
На щастя, можливо, через те, що цей експлойт покладався на недійсні платежі, а не дозволяв зловмисникам спустошувати банкомати безпосередньо, загальні фінансові втрати в цьому інциденті не перевищують багатомільйонний долар суми часто асоціюється з криптовалютні помилки.
Генерал Байтс заявив учора [2022-08-22], що «Про інцидент повідомили в чеську поліцію. Загальна сума збитків, заподіяна операторам банкоматів, за їхніми відгуками, становить 16,000 XNUMX доларів США».
Компанія також автоматично дезактивувала будь-які банкомати, якими вона керувала від імені своїх клієнтів, таким чином вимагаючи від цих клієнтів входу та перегляду власних налаштувань перед повторною активацією своїх пристроїв банкоматів.
Що ж робити?
General Bytes перерахував an 11-кроковий процес яких клієнти повинні дотримуватися, щоб вирішити цю проблему, зокрема:
- Виправлення сервер CAS.
- Перегляд налаштувань брандмауера щоб обмежити доступ якомога меншій кількості користувачів мережі.
- Дезактивація терміналів банкоматів щоб сервер можна було знову відкрити для перегляду.
- Перегляд усіх налаштувань, включаючи будь-які фіктивні термінали, які могли бути додані.
- Повторна активація терміналів лише після завершення всіх кроків пошуку загроз.
Ця атака, до речі, є сильним нагадуванням про те, чому потрібна сучасна реакція на загрози це не просто латання дірок і видалення шкідливих програм.
У цьому випадку зловмисники не запровадили жодного шкідливого програмного забезпечення: атаку було організовано просто через зловмисну зміну конфігурації, при цьому базова операційна система та серверне програмне забезпечення залишилися недоторканими.
Не вистачає часу чи персоналу?
Дізнатися більше про Кероване виявлення та реагування Sophos:
Цілодобове полювання на загрози, виявлення та реагування ▶
Рекомендоване зображення уявних біткойнів через Ліцензія Unsplash.
- Банкомат
- blockchain
- БТД
- coingenius
- крипто
- криптовалюта
- крипто-валютні кошельки
- криптообмін
- кібер-безпеки
- кіберзлочинці
- Кібербезпека
- управління внутрішньої безпеки
- цифрові гаманці
- брандмауер
- Загальні байти
- Kaspersky
- шкідливих програм
- Макафі
- Гола безпека
- NexBLOC
- фантомна абстиненція
- plato
- платон ai
- Інформація про дані Платона
- Гра Платон
- PlatoData
- platogaming
- VPN
- вразливість
- безпеки веб-сайтів
- зефірнет
![S3, серія 126: Ціна швидкої моди (і повзання функцій) [Аудіо + текст]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-300x156.png "S3, серія 126: Ціна швидкої моди (і повзання функцій) [Аудіо + текст]")
