Luka dnia zerowego w oprogramowaniu bankomatów General Bytes Bitcoin pozwoliła hakerom ukraść aktywa o wartości około 1,6 miliona dolarów. Zgodnie z informacją opublikowaną przez poszkodowaną firmę cyberprzestępcy podczas włamania wykorzystali exploit w głównym interfejsie usługi terminali, aby zdalnie przesłać złośliwą aplikację Java.
Chociaż firma nie podała dokładnej liczby aktywów kryptograficznych skradzionych przez cyberprzestępców, narzędzia do analizy łańcucha ujawniają, że zaginęło 56 283 BTC, 21 823 ETH i 1 219 183 LTC o łącznej wartości ponad 1,6 miliona dolarów.
Hakerzy ukradli 1,6 miliona dolarów – jak doszło do ataku?
Zgodnie z raportem zespołu do spraw cyberbezpieczeństwa firmy General Bytes hakerzy „przeskanowali przestrzeń adresową IP w chmurze Digital Ocean i zidentyfikowali działające usługi CAS w portach 7741, w tym usługę General Bytes Cloud i innych operatorów bankomatów GB obsługujących swoje serwery w Digital Ocean”.
Dzięki temu exploitowi cyberprzestępcy otrzymali między innymi pełny dostęp do bazy danych poszkodowanej firmy oraz możliwości:
- Odczytywania i odszyfrowywania gorących portfeli oraz wymiany kluczy API.
- Wyłączania uwierzytelniania dwuskładnikowego (2FA).
- Uzyskania poświadczenia użytkownika (nazwy użytkownika i jego hasła).
- Przelewania środków z gorących portfeli użytkowników.
- Dostępu do dzienników zdarzeń terminala.
- Dostępu do starych dzienników zawierających skanowanie prywatnych kluczy użytkowników.
Kroki, które podjęła firma General Bytes Bitcoin
Chociaż firma twierdzi, że od 2021 roku przeprowadziła kilka audytów bezpieczeństwa, luka w zabezpieczeniach umknęła zespołowi zajmującemu się kryminalistyką cyfrową.
Ponadto raport sporządzony po ataku zawiera szczegółowe informacje, które pomogą operatorom ustalić, czy ich serwer został naruszony, a także szereg zaleceń dotyczących środków zaradczych. General Bytes wzywa wszystkich swoich operatorów do tego, aby:
- Zmienili wszystkie hasła swoich użytkowników.
- Unieważnili stare klucze API i wygenerowali nowe.
- Traktowali hasła CAS (krypto-bankomat) wszystkich użytkowników tak, jakby zostały naruszone.
- Korzystali z zapór ogniowych i sieci VPN, aby chronić CAS i terminale.