Хакери спустошили біткойн-банкомати на 1,5 мільйона доларів, використовуючи помилку 0-day

Хакери викачали мільйони доларів у цифрових монетах із криптовалютних банкоматів, скориставшись уразливістю нульового дня, залишаючи клієнтів на гачку збитків, які не можна повернути, повідомив виробник кіоску.

Метою пограбування були банкомати, які продає General Bytes, компанія, що має численні офіси по всьому світу. Ці BATM, скорочення від біткойн-банкоматів, можна встановлювати в магазинах та інших підприємствах, щоб дозволити людям обмінювати біткойни на інші валюти і навпаки. Клієнти підключають BATM до a сервер криптододатків (CAS), якими вони можуть керувати або, досі, якими General Bytes міг керувати за них. З причин, які не зовсім зрозумілі, BATM пропонують опцію, яка дозволяє клієнтам завантажувати відео з терміналу в CAS за допомогою механізму, відомого як інтерфейс головного сервера.

Йде, йде, йде

На вихідних генерал Байтс виявлено що біткойни на суму понад 1,5 мільйона доларів США були виведені з CAS, керованих компанією та клієнтами. Щоб здійснити пограбування, невідомий зловмисник скористався раніше невідомою вразливістю, яка дозволила йому використовувати цей інтерфейс для завантаження та виконання шкідливої ​​програми Java. Потім актор витратив різні гарячі гаманці приблизно на 56 BTC, вартістю приблизно 1,5 мільйона доларів. Компанія General Bytes виправила вразливість через 15 годин після того, як дізналася про неї, але через те, як працюють криптовалюти, втрати були непоправними.

Представники General Bytes написали:

Ніч з 17 на 18 березня була найскладнішою для нас і деяких наших клієнтів. Уся команда цілодобово працювала над збором усіх даних щодо порушення безпеки та постійно працює над вирішенням усіх випадків, щоб допомогти клієнтам якомога швидше повернутися в Інтернет і продовжити роботу своїх банкоматів. Ми приносимо вибачення за те, що трапилося, і переглянемо всі наші процедури безпеки, а зараз робимо все можливе, щоб утримати наших постраждалих клієнтів на плаву.

У дописі говориться, що потік нападу був таким:

1. Зловмисник виявив уразливість безпеки в інтерфейсі основного сервісу, який BATM використовують для завантаження відео в CAS.

2. Зловмисник просканував простір IP-адрес, яким керує хмарний хост DigitalOcean Ocean, щоб визначити запущені служби CAS на портах 7741, включаючи службу General Bytes Cloud та інших операторів BATM, які запускають свої сервери на Digital Ocean.

3. Використовуючи вразливість, зловмисник завантажив програму Java безпосередньо на сервер програм, який використовувався інтерфейсом адміністратора. Сервер додатків за замовчуванням налаштовано на запуск додатків у своїй папці розгортання.

Після запуску зловмисної програми на сервері зловмисник міг (1) отримати доступ до бази даних, (2) прочитати та розшифрувати закодовані ключі API, необхідні для доступу до коштів у гарячих гаманцях і біржах, (3) переказати кошти з гарячих гаманців на гаманець, яким керує зловмисник, (4) завантажити імена користувачів і хеші паролів і вимкнути 2FA, (5) отримати доступ до журналів подій терміналу та перевірити випадки, коли клієнти сканували приватні ключі в банкоматі. Конфіденційні дані на кроці 5 були зареєстровані старішими версіями програмного забезпечення банкоматів.

Клієнти БАТМ тепер самі по собі

Забігаючи наперед, у публікації цих вихідних сказано, що General Bytes більше не керуватиме CAS від імені клієнтів. Це означає, що власникам терміналів доведеться самостійно керувати серверами. Компанія також збирає дані від клієнтів, щоб підтвердити всі збитки, пов’язані зі зломом, проводить внутрішнє розслідування та співпрацює з органами влади, намагаючись ідентифікувати загрозу.

Генерал Байтс сказав, що компанія отримала «кілька перевірок безпеки з 2021 року», і жоден з них не виявив використаної вразливості. Зараз компанія шукає подальшої допомоги в забезпеченні своїх BATM.

Інцидент підкреслює ризик зберігання криптовалют у доступних через Інтернет гаманцях, які зазвичай називають гарячими гаманцями. Протягом багатьох років зловмисники, які використовували різноманітні вразливості в криптовалютних інфраструктурах, або обманом змушували власників гаманців надати ключі шифрування, необхідні для виведення коштів, незаконно позбавляли гарячих гаманців незліченну кількість цифрових монет.

Фахівці з безпеки вже давно радять людям зберігати кошти в холодних гаманцях, тобто вони не мають прямого доступу до Інтернету. На жаль, BATM та інші типи криптовалютних банкоматів зазвичай не можуть дотримуватися цієї найкращої практики, оскільки термінали мають бути підключені до гарячих гаманців, щоб вони могли здійснювати транзакції в режимі реального часу. Це означає, що BATM, ймовірно, залишаться основною мішенню для хакерів.