Bitomaty firmy General Bytes okradzione. Hakerzy wykorzystali błąd typu zero-day

Bitomaty firmy General Bytes padły ofiarą ataku typu zero-day. W wyniku przeprowadzonego hacku urządzenia służące do przeprowadzania transakcji kryptowalutowych przekazywały środki klientów na adresy przestępców.

Luka w zabezpieczeniach General Bytes

General Bytes jest jednym z trzech największych producentów bitomatów na świecie. Firma poinformowała w dniu 19 sierpnia, że ich urządzenia zostały zhakowane w wyniku luki zwanej zero-day. Termin ten oznacza błąd w zabezpieczeniach oprogramowania, który nie został zidentyfikowany przez deweloperów. Hakerzy wykorzystali go do modyfikacji ustawień w celu osiągnięcia własnych korzyści. W wyniku czwartkowego ataku na serwery obsługujące działanie bitomatów, przestępcy przeprowadzili operację w celu uzyskania uprawnień administratora. Następnie podmienili adres portfela odbiorców przeprowadzanych transakcji, przez co użytkownicy urządzeń utracili dostęp do przepływających środków podczas ich kupna lub sprzedaży.

Producent nie podał do wiadomości publicznej ile urządzeń działało pod wpływem hacku oraz ile środków zostało skradzionych. Jednakże firma zaleciła operatorom natychmiastową aktualizację oprogramowania. Ustalono, że wspomniana luka funkcjonuje od czwartkowej modyfikacji oprogramowania CAS, w wyniku której hakerzy zdołali aktywować jej nową wersję o numerze 20201208.

General Bytes sugeruje klientom wstrzymanie się od korzystania z ich urządzeń do czasu aktualizacji serwera. Firma ma nadzieję, że po wprowadzeniu pewnych poprawek uda się pozbyć luki w zabezpieczeniach i przywrócić stare ustawienia. Przed reaktywacją swoich terminali, General Bytes zwrócił klientom uwagę na to, aby przejrzeli raz jeszcze swoje „ustawienia sprzedaży kryptowalut”. Ma to na celu upewnienie się, że hakerzy nie zmodyfikowali ich ustawień tak, aby przesyłane środki trafiały bezpośrednio do ich portfeli. GB oznajmiło, że od czasu powstania ich systemów w 2020 roku przeprowadzono kilka audytów bezpieczeństwa. Jednakże ani razu nie wykryto podobnej luki.

Geneza ataku

Zespół doradczy ds. bezpieczeństwa w General Bytes oznajmił, że w wyniku przeprowadzonego ataku typu zero-day hakerzy uzyskali dostęp do serwera Crypto Application Server (CAS) firmy. Dzięki temu udało im się pozyskać skradzione kryptowaluty. Serwer CAS odpowiada za procesowanie wszystkich operacji urządzeń, w tym realizację kupna oraz sprzedaży cyfrowych aktywów. Podejrzewa się, że ​​przestępcy „weszli w luki serwera hostingu w chmurze firmy Digital Ocean, skanując port TCP 7777 lub 433 w sieci, tworząc domyślnego użytkownika administratora o nazwie „gb” i dodając go do własnego serwera Crypto Application Server (CAS)”.

Atakujący był w stanie zdalnie utworzyć konto administratora za pośrednictwem interfejsu administracyjnego CAS i zmiany adresu URL na stronie, która jest używana do domyślnej instalacji na serwerze i utworzenia pierwszego użytkownika administracyjnego.

Jak wspominaliśmy wyżej, firma General Bytes jest czołowym producentem bitomatów na świecie. Firma jest właścicielem i operatorem 8827 bitomatów, które są  dostępne w ponad 120 krajach. Użytkownicy urządzeń mają możliwość handlowania ponad 40 różnych kryptowalutami.