Ο κατασκευαστής του Bitcoin ATM General Bytes επιβεβαίωσε ότι ήταν θύμα κυβερνοεπίθεσης που εκμεταλλεύτηκε ένα άγνωστο ελάττωμα στο λογισμικό του για να λεηλατήσει κρυπτονομίσματα από τους χρήστες του.
“Ο εισβολέας μπόρεσε να δημιουργήσει έναν χρήστη διαχειριστή εξ αποστάσεως μέσω της διαχειριστικής διεπαφής CAS μέσω μιας κλήσης URL στη σελίδα που χρησιμοποιείται για την προεπιλεγμένη εγκατάσταση στον διακομιστή και τη δημιουργία του πρώτου χρήστη διαχείρισης”, ανέφερε η εταιρεία . σε συμβουλευτική ανακοίνωση την περασμένη εβδομάδα”Αυτή η ευπάθεια υπάρχει στο λογισμικό CAS από την έκδοση 2020-12-08.”
Δεν είναι άμεσα σαφές πόσοι διακομιστές παραβιάστηκαν χρησιμοποιώντας αυτό το ελάττωμα και πόσα κρυπτονομίσματα κλάπηκαν.
Το CAS είναι συντομογραφία του Crypto Application Server, ένα αυτο-φιλοξενούμενο προϊόν της General Bytes που επιτρέπει στις εταιρείες να διαχειρίζονται μηχανές Bitcoin ATM (BATM) από μια κεντρική τοποθεσία μέσω ενός προγράμματος περιήγησης ιστού σε επιτραπέζιο υπολογιστή ή κινητή συσκευή.
Το ελάττωμα zero-day, το οποίο αφορούσε ένα σφάλμα στη διεπαφή διαχειριστή CAS, έχει μετριαστεί σε δύο εκδόσεις ενημερώσεων κώδικα διακομιστή, 20220531.38 και 20220725.22.
Ο General Bytes είπε ότι ο ανώνυμος παράγοντας απειλής αναγνώρισε ότι εκτελούνται υπηρεσίες CAS στις θύρες 7777 ή 443 σαρώνοντας το χώρο διευθύνσεων IP που φιλοξενεί το cloud του DigitalOcean, ακολουθούμενο από κατάχρηση του ελαττώματος για την προσθήκη ενός νέου προεπιλεγμένου χρήστη διαχειριστή με το όνομα “gb” στο CAS.
«Ο εισβολέας τροποποίησε τις ρυθμίσεις κρυπτογράφησης αμφίδρομων μηχανών με τις ρυθμίσεις του πορτοφολιού του και τη ρύθμιση «μη έγκυρη διεύθυνση πληρωμής»», ανέφερε. “Τα αμφίδρομα ΑΤΜ άρχισαν να προωθούν κέρματα στο πορτοφόλι του εισβολέα όταν οι πελάτες έστειλαν κέρματα στο [το] ΑΤΜ.”
Με άλλα λόγια, ο στόχος της επίθεσης ήταν να τροποποιηθούν οι ρυθμίσεις με τέτοιο τρόπο ώστε όλα τα χρήματα να μεταφέρονται σε μια διεύθυνση ψηφιακού πορτοφολιού υπό τον έλεγχο του αντιπάλου.
Η εταιρεία τόνισε επίσης ότι είχε πραγματοποιήσει “πολλαπλούς ελέγχους ασφαλείας” από το 2020 και ότι αυτή η αδυναμία δεν εντοπίστηκε ποτέ, προσθέτοντας ότι η επίθεση σημειώθηκε τρεις ημέρες αφότου ανακοίνωσε δημόσια μια λειτουργία “Βοήθεια Ουκρανίας” στα ΑΤΜ της.