Nem tudná, ha felkeresné a cég fő weboldalát, de a General Bytes, egy Bitcoin ATM-eket árusító cseh cég arra kéri felhasználóit, hogy javítson egy kritikus pénzigényes hibát szerverszoftverében.
A cég állítása szerint több mint 13 000 ATM-et értékesített világszerte, 5000 dollárért és még többért, a funkcióktól és a megjelenéstől függően.
Nem minden ország volt barátságos a kriptovaluta ATM-ekkel – például a brit szabályozó 2022 márciusában arra figyelmeztetett, hogy az országban akkoriban működő ATM-ek egyike sem volt hivatalosan bejegyezve, mondván, hogy bezárják. „vegye fel a kapcsolatot a gépek leállítását elrendelő kezelőkkel”.
Megnéztük a helyi kripto ATM-ünket, és azt találtuk, hogy a „Terminal Offline” üzenet jelenik meg. (Az eszközt azóta eltávolították a bevásárlóközpontból, ahol telepítették.)
Ennek ellenére a General Bytes azt állítja, hogy több mint 140 országban szolgálja ki az ügyfeleket, és az ATM-ek globális térképe az Antarktiszon kívül minden kontinensen jelen van.
Biztonsági incidenst jelentettek
Szerint a General Bytes termék tudásbázis, egy “biztonsági incidens”, amelynek súlyossági szintje legmagasabb múlt héten fedezték fel.
A cég saját szavaival élve:
A támadó távolról adminisztrátori felhasználót tudott létrehozni a CAS adminisztrációs felületén keresztül a szerver alapértelmezett telepítéséhez használt oldal URL-hívásával, és létrehozta az első adminisztrátor felhasználót.
Amennyire meg tudjuk állapítani, CAS a rövidítése Coin ATM szerverés minden General Bytes kriptovaluta ATM-üzemeltetőnek szüksége van egy ilyenre.
Úgy tűnik, bárhol tárolhatja CAS-ját, beleértve a saját hardverét is a saját szerverszobájában, de a General Bytes különleges megállapodást kötött a Digital Ocean hosting céggel egy olcsó felhőmegoldásért. (A General Bytes futtathatja a szervert a felhőben is, cserébe 0,5% kedvezmény minden készpénzes tranzakcióra.)
Az incidensről szóló jelentés szerint a támadók port-ellenőrzést végeztek a Digital Ocean felhőszolgáltatásainál, és olyan figyelő webszolgáltatásokat kerestek (7777-es vagy 443-as portok), amelyek General Bytes CAS-kiszolgálóként azonosították magukat, hogy megtalálják a potenciális áldozatok listáját.
Vegye figyelembe, hogy az itt kihasznált sebezhetőség nem a Digital Ocean miatt volt, és nem korlátozódott felhő alapú CAS-példányokra. Gyanítjuk, hogy a támadók egyszerűen úgy döntöttek, hogy a Digital Ocean jó hely a keresés megkezdéséhez. Ne feledje, hogy nagyon gyors internetkapcsolattal (pl. 10 Gbit/sec) és szabadon elérhető szoftverek használatával az elszánt támadók már órák vagy akár percek alatt átvizsgálhatják a teljes IPv4 internetes címteret. Így működnek az olyan nyilvános sebezhetőségi keresőmotorok, mint a Shodan és a Censys, folyamatosan böngészve az internetet, hogy kiderítsék, mely szerverek és melyik verziók aktívak éppen melyik online helyeken.
Nyilvánvalóan magának a CAS-nek egy sebezhetősége tette lehetővé a támadók számára, hogy manipulálják az áldozat kriptovaluta szolgáltatásainak beállításait, többek között:
- Új felhasználó hozzáadása rendszergazdai jogokkal.
- Az új rendszergazdai fiók használata a meglévő ATM-ek újrakonfigurálásához.
- Minden érvénytelen fizetés átirányítása a saját pénztárcájába.
Amennyire látjuk, ez azt jelenti, hogy a végrehajtott támadások azokra az utalásokra vagy kifizetésekre korlátozódtak, ahol az ügyfél hibázott.
Ilyenkor úgy tűnik, hogy ahelyett, hogy az ATM üzemeltetője beszedné a félreirányított pénzt, hogy aztán visszafizessék vagy megfelelően továbbítsák…
…az alapok közvetlenül és visszafordíthatatlanul a támadókhoz kerülnének.
Bytes tábornok nem árulta el, hogyan került erre a hibára a tudomása, bár úgy gondoljuk, hogy minden ATM-üzemeltető, aki egy sikertelen tranzakcióval kapcsolatos támogatási hívást kap, gyorsan észreveszi, hogy a szolgáltatás beállításait megváltoztatták, és riasztani fog.
A kompromisszum mutatói
Úgy tűnt, hogy a támadók több jelet hagytak tevékenységükre, így Bytes tábornok számos ún A kompromisszum mutatói (IoC-k), hogy segítsenek felhasználóiknak azonosítani a feltört CAS-konfigurációkat.
(Természetesen ne feledje, hogy az IoC-k hiánya nem garantálja a támadók hiányát, de az ismert IoC-k hasznos kiindulópontok a fenyegetésészlelés és a válaszadás terén.)
Szerencsére talán annak a ténynek köszönhető, hogy ez a kizsákmányolás érvénytelen fizetéseken alapult, ahelyett, hogy lehetővé tette volna a támadók számára az ATM-ek közvetlen leeresztését, az incidens teljes pénzügyi vesztesége nem éri el azt a több millió dolláros összeget, amelyet gyakran a kriptovaluta baklövésekkel társítanak.
Bytes tábornok tegnap azt állította [2022-08-22] hogy a “[i]a balesetet jelentették a cseh rendőrségnek. A visszajelzéseik alapján az ATM-üzemeltetőknek okozott teljes kár 16 000 USD. ”
A vállalat emellett automatikusan deaktiválta az összes ATM-et, amelyet ügyfelei nevében üzemeltetett, és megkövetelte, hogy az ügyfelek bejelentkezzenek, és áttekintsék saját beállításaikat, mielőtt újraaktiválnák az ATM-eket.
Mit kell tennünk?
A General Bytes egy 11 lépésből álló folyamatot sorolt fel ügyfelei számára a probléma megoldásához, beleértve a következőket:
- Foltozás a CAS szerver.
- Ellenőrizze a tűzfal beállításait hogy a hozzáférést a lehető legkevesebb hálózati felhasználóra korlátozzuk.
- Az ATM terminálok kikapcsolása hogy a szervert újra le lehessen hívni ellenőrzésre.
- Az összes beállítás megtekintésebeleértve az esetlegesen hozzáadott hamis terminálokat.
- Aktiválja újra a terminálokat csak az összes fenyegetésészlelési lépés végrehajtása után.
Mellesleg, ez a támadás erősen emlékeztet arra, hogy miért a mai válasz a fenyegetésekre nem csak a lyukak betöméséről és a rosszindulatú programok eltávolításáról szól.
Ebben az esetben a bűnözők nem ültettek be rosszindulatú programokat: a támadást egyszerűen rosszindulatú konfigurációmódosítások irányították, érintetlenül hagyva a mögöttes operációs rendszert és a szerverszoftvert.
Nincs elég idő vagy személyzet?
Tudj meg többet A Sophos felügyelte az észlelést és a reagálást:
24 órás fenyegetésvadászat, észlelés és reagálás
Kiemelt kép elképzelt Bitcoinokról az Unsplash licencen keresztül.
.