MKD-CIRT National Centre for Computer Incident Response
Водечкиот производител на Bitcoin банкомати General Bytes откри дека хакерите украле криптовалути од компанијата и од нејзините клиенти користејќи zero-day ранливост во нејзината BATM платформа за управување.
General Bytes прави Bitcoin банкомати дозволувајќи им на луѓето да купат или продадат над 40 криптовалути. Клиентите можат да ги распоредат своите банкомати користејќи самостојни сервери за управување или General Bytes cloud услуга.
Во текот на викендот, компанијата откри дека хакерите ја искористиле zero-day ранливоста следена како BATM-4780 за да прикачат Java апликација преку главниот сервисен интерфејс на банкоматот и да ја стартуваат со ,,batm” кориснички привилегии.
„Хакерот го скенирал просторот за IP-адреса на Digital Ocean cloud хостинг и идентификувал како работат CAS услугите на портите 7741, вклучително и General Bytes Cloud услугата и други GB банкомати кои ги извршуваат своите сервери на Digital Ocean (нашиот препорачан cloud хостинг провајдер)“, објасни General Bytes во обелоденувањето на безбедносениот инцидент.
Компанијата се огласи на Твитер за да ги повика клиентите „да преземат итна акција“ и да ги инсталираат најновите ажурирања за да ги заштитат своите сервери и средства од хакерите.
По поставувањето на Java апликацијата, хакерите добија можност да ги извршуваат следните дејства на компромитирани уреди:
– Способност за пристап до базата на податоци.
– Способност за читање и дешифрирање API клучеви кои се користат за пристап до средства во паричници и централи.
– Да преземат кориснички имиња, лозинки и да исклучат 2FA.
– Способност за пристап до евиденциите за терминални настани и скенирање на кој било пример кога клиентите скенирале приватни клучеви на банкоматот. Постарите верзии на софтверот за банкомати ги евидентираа овие информации.
General Bytes предупреди дека нејзините клиенти и сопствената cloud услуга биле пробиени за време на нападите.
„GENERAL BYTES Cloud услугата беше пробиена како и самостојните сервери на другите оператори“, се истакнува во изјавата.
Иако компанијата откри колку пари украл хакерот, тие обезбедија список со адреси на криптовалути што ги користел хакерот за време на нападот.
Овие адреси покажуваат дека хакерот почнал да краде криптовалута од серверите на Bitcoin банкомат на 17-ти март, при што адресата на Bitcoin на хакерот добила 56,28570959 BTC, во вредност од приближно 1,589,000 долари и 21,79436191 Ethereum, во вредност од приближно 39,0 долари.
Додека Bitcoin паричникот сè уште ја содржи украдената криптовалута, хакерите користеле Uniswap за да го претворат украдениот Ethereum во USDT.
CAS (Crypto Application Server) администраторите се повикани да ги испитаат нивните „master.log“ и „admin.log“ лог датотеки за какви било сомнителни временски празнини предизвикани од хакерот кој ги бришел записите во дневникот за да ги скрие своите дејства на уредот.
Извештајот на General Byte, исто така, предупреди дека поставените малициозни JAVA апликации ќе се појават во „/batm/app/admin/standalone/deployments/“ папката како датотеки со случајни имиња .war и .war.deployed.
Компанијата забележува дека имињата на датотеките најверојатно се различни по жртва.
Оние без знаци на крадење треба да сметаат дека сите нивни CAS лозинки и API клучеви се компромитирани и веднаш да ги поништат и да генерираат нови. Сите кориснички лозинки исто така треба да се ресетираат.
General Bytes изјави дека ја затвораат својата cloud услуга, наведувајќи дека е „теоретски (и практично) невозможно“ да се заштити од хакери кога мора истовремено да обезбеди пристап до повеќе оператори.
Компанијата ќе обезбеди поддршка со миграција на податоци за оние кои би сакале да инсталираат сопствен самостоен CAS, кој сега треба да биде поставен зад заштитен ѕид и VPN.
General Byte, исто така, објави безбедносна поправка на CAS што се однесува на експлоатираната ранливост, обезбедена во две закрпи, 20221118.48 и 20230120.44.
Исто така, се истакнува дека пробиениот систем бил подложен на повеќе безбедносни ревизии од 2021 година, но ниту една не ја идентификувала експлоатираната ранливост.
Истражувачите од берзата за криптовалути Kraken открија повеќе пропусти во банкоматите на General Bytes во 2021 година, кои компанијата брзо ги поправи.
Сепак, дури и со овие безбедносни ревизии, во август 2022 година, General Bytes имаше безбедносен инцидент каде хакерите ја искористија zero-day ранливоста во серверите на банкоматите за да украдат криптовалути од своите клиенти.
Компанијата изјави дека планира да спроведе бројни безбедносни контроли на своите производи од повеќе компании во краток период за да открие и поправи други потенцијални недостатоци пред да ги најдат хакерите.
Извор: BleepingComputer
