Hackerii au furat peste 1,5 milioane de dolari în criptografii de la ATM-urile General Bytes.
Peste 1,5 milioane de dolari în cripto au fost furate printr-o exploatare a ATM-ului General Bytes Bitcoin. Hackerii au abuzat de un defect zero-day pentru a fura fondurile.
ATM-urile Bitcoin General Bytes au fost piratate
La 18 martie 2023, maior ATM Bitcoin furnizorul General Bytes a experimentat un incident de securitate care a dus la furtul a peste 1,5 milioane USD în Bitcoin.
General Bytes a vândut peste 15.000 de bancomate Bitcoin în 149 de țări (conform site oficial), și are sediul în Republica Cehă. Pe 20 martie, la două zile după incidentul de securitate, General Bytes a publicat o postare pe blog în care informează publicul despre hack.
În Postare de blog General Bytes, s-a afirmat că atacatorul din spatele exploit-ului „și-ar putea încărca aplicația java de la distanță prin interfața de serviciu principal utilizată de terminale pentru a încărca videoclipuri și a le rula folosind utilizatorul BATM privilegii”.
Atacatorul „a scanat spațiul de adresă IP care găzduiește în cloud Digital Ocean și a identificat serviciile CAS care rulează pe porturi 7741, inclusiv serviciul General Bytes Cloud și alți operatori GB ATM care își rulează serverele pe Digital Ocean.”
Operatorul rău intenționat a exploatat un defect zero-day în interfața de serviciu principal a General Bytes pentru a încărca aplicația java.
Ca urmare a exploit zero-day, atacatorul a putut face următoarele:
- Accesați baza de date.
- Citiți și decriptați cheile API pentru a accesa fondurile deținute în schimburi și portofele hot.
- Retrageți fonduri din portofelele calde vizate.
- Descărcați nume de utilizator și parole hash.
- Dezactivați autentificarea cu doi factori.
- Accesați jurnalele de evenimente ale terminalului și detectați cazurile în care utilizatorii își scanează cheia privată la un bancomat General Bytes (pe care versiunile mai vechi ale software-ului General Bytes ar fi înregistrate).
Cel puțin 56 de Bitcoin au fost furați în cadrul atacului, în valoare de peste 1,5 milioane de dolari la momentul redactării acestui articol.
Vulnerabilitatea exploatată a fost în sfârșit remediată
General Bytes a avut nevoie de 15 ore pentru a lansa un patch pentru vulnerabilitate, deși hack-ul fusese deja executat cu succes în acest moment.
General Bytes a declarat în postarea sa de blog referitor la hack că, în multiplele audituri de securitate efectuate de companie din 2021, vulnerabilitatea software-ului exploatat nu a fost niciodată detectată.
Acesta marchează al doilea incident de securitate General Bytes din ultimul an, o vulnerabilitate fiind exploatată în august 2022 pentru a fura din nou fonduri.
General Bytes își închide serviciul cloud
În postarea de blog menționată mai sus, General Bytes a anunțat cititorii că își va închide serviciul cloud. De acum înainte, furnizorul de bancomate va cere clienților săi să-și acceseze bancomatele prin servere autonome.
General Bytes a declarat, de asemenea, că clienților le-au fost deja furnizate informații despre această nouă configurație și speră că utilizatorii vor înțelege schimbarea.
Crima criptografică rămâne predominantă
Acest hack-ul ATM-ului General Bytes Bitcoin este doar un alt dintre miile de crime criptografice care au avut loc în ultimii ani. Criminalii cibernetici continuă să se concentreze pe această industrie pentru a fura date și fonduri, criptomoneda oferind un strat suplimentar de anonimat. Deși metodele de detectare și prevenire se îmbunătățesc, există încă numeroase moduri prin care organizațiile și indivizii își pot pierde activele în atacurile cibernetice bazate pe cripto.
