Luka dnia zerowego w oprogramowaniu bankomatów General Bytes Bitcoin pozwoliła hakerom ukraść aktywa o wartości około 1,6 miliona dolarów. Zgodnie z informacją opublikowaną przez poszkodowaną firmę cyberprzestępcy podczas włamania wykorzystali exploit w głównym interfejsie usługi terminali, aby zdalnie przesłać złośliwą aplikację Java.
- Reklama -
Chociaż firma nie podała dokładnej liczby aktywów kryptograficznych skradzionych przez cyberprzestępców, narzędzia do analizy łańcucha ujawniają, że zaginęło 56 283 BTC, 21 823 ETH i 1 219 183 LTC o łącznej wartości ponad 1,6 miliona dolarów.
Hakerzy ukradli 1,6 miliona dolarów – jak doszło do ataku?
Zgodnie z raportem zespołu do spraw cyberbezpieczeństwa firmy General Bytes hakerzy „przeskanowali przestrzeń adresową IP w chmurze Digital Ocean i zidentyfikowali działające usługi CAS w portach 7741, w tym usługę General Bytes Cloud i innych operatorów bankomatów GB obsługujących swoje serwery w Digital Ocean”.
Dzięki temu exploitowi cyberprzestępcy otrzymali między innymi pełny dostęp do bazy danych poszkodowanej firmy oraz możliwości:
- Odczytywania i odszyfrowywania gorących portfeli oraz wymiany kluczy API.
- Wyłączania uwierzytelniania dwuskładnikowego (2FA).
- Uzyskania poświadczenia użytkownika (nazwy użytkownika i jego hasła).
- Przelewania środków z gorących portfeli użytkowników.
- Dostępu do dzienników zdarzeń terminala.
- Dostępu do starych dzienników zawierających skanowanie prywatnych kluczy użytkowników.
„Wykorzystując tę lukę w zabezpieczeniach, hakerzy przesłali własną złośliwą aplikację bezpośrednio na serwer używany przez interfejs administratora. Serwer aplikacji został domyślnie skonfigurowany do uruchamiania aplikacji w swoim folderze wdrażania”.
mówi pracownik General Bytes Bitcoin
Kroki, które podjęła firma General Bytes Bitcoin
Chociaż firma twierdzi, że od 2021 roku przeprowadziła kilka audytów bezpieczeństwa, luka w zabezpieczeniach umknęła zespołowi zajmującemu się kryminalistyką cyfrową.
Ponadto raport sporządzony po ataku zawiera szczegółowe informacje, które pomogą operatorom ustalić, czy ich serwer został naruszony, a także szereg zaleceń dotyczących środków zaradczych. General Bytes wzywa wszystkich swoich operatorów do tego, aby:
- Zmienili wszystkie hasła swoich użytkowników.
- Unieważnili stare klucze API i wygenerowali nowe.
- Traktowali hasła CAS (krypto-bankomat) wszystkich użytkowników tak, jakby zostały naruszone.
- Korzystali z zapór ogniowych i sieci VPN, aby chronić CAS i terminale.
„Exploity typu Zero Day są często wykorzystywane przez cyberprzestępców. Hakerzy doskonale zdają sobie sprawę z tego, że bardzo trudno podczas testów znaleźć wszystkie luki i większość nowych aplikacji zawiera wiele błędów, które mogą pozwolić na skuteczne włamanie do infrastruktury sieciowej danej firmy. Zasadniczo w momencie oddania aplikacji do użytku publicznego rozpoczyna się wyścig między hakerami i specjalistami do spraw cyberbezpieczeństwa o to, kto pierwszy znajdzie exploity”
Mariusz Politowicz z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender