Ведущий производитель биткойн-банкоматов General Bytes заявил, что хакерам удалось украсть криптовалюту у компании и её клиентов, используя уязвимость нулевого дня в платформе управления BATM. General Bytes производит биткойн-банкоматы, позволяющие людям покупать или продавать свыше 40 виртуальных криптомонет. Корпоративные клиенты компании могут развернуть свои банкоматы с помощью автономных серверов управления или облачной службы General Bytes. На выходных компания сообщила, что хакеры воспользовались уязвимостью нулевого дня, отслеживаемой как BATM-4780, для удаленной загрузки вредоносного Java-приложения через главный сервисный интерфейс банкомата. «Злоумышленник просканировал пространство IP-адресов облачного хостинга Digital Ocean и обнаружил работающие службы CAS на портах 7741, включая облачную службу General Bytes», — пояснили в General Bytes. Компания выпустила экстренное заявление в Twitter, чтобы призвать клиентов «принять незамедлительные меры» и установить последние обновления для защиты своих серверов и денежных средств от киберпреступников.
Как сообщается самой компанией, после загрузки вредоносного Java-приложения злоумышленники получили возможность выполнять следующие действия на скомпрометированных устройствах:
возможность доступа к базе данных компании;
возможность чтения и расшифровки API-ключей, используемых для доступа к средствам в криптокошельках и биржах;
перевод средств с криптокошельков;
скачивание имён пользователей, их хэшей паролей и отключение 2FA;
возможность доступа к журналам событий терминала и поиску случаев, когда клиенты сканировали закрытые ключи в банкомате.
«Облачный сервис General Bytes был взломан точно так же, как и автономные серверы других операторов», — подчеркивается в заявлении компании. General Bytes также предоставила длинный список криптовалютных адресов, использованных хакерами во время атаки. По данным компании, кибербандиты начали красть криптовалюту с серверов биткойн-банкоматов 17 марта, при этом биткойн-адрес хакеров получил 56,28570959 BTC на сумму около 1 589 000 долларов и 21,79436191 Ethereum на сумму около 39 000 долларов. Хотя биткойн-кошелек злоумышленников всё ещё содержит украденную криптовалюту, похоже, киберпреступники использовали Uniswap для конвертации украденного Ethereum в USDT. General Bytes рекомендовала администраторам CAS (Crypto Application Server) проверять файлы журналов на наличие любых подозрительных активностей, а пользователям — в обязательном порядке сменить пароли от своих криптокошельков. Компания заявила, что закрывает свой облачный сервис, так как считает «теоретически и практически невозможным» защитить его от злоумышленников. В ближайшее время компания перенесёт всю инфраструктуру к другому облачному провайдеру. General Bytes также выпустила два исправления безопасности CAS, которые устраняют использованную хакерами уязвимость. Весьма занимательно, что с 2021 года взломанная система подвергалась множественным проверкам безопасности, но ни одна из них не выявила уязвимость, благодаря которой злоумышленники «сорвали куш». Компания заявляет, что в ближайшее время планирует провести многочисленные аудиты безопасности своих продуктов с помощью нескольких сторонних компаний, занимающихся кибербезопасностью. Так General Bytes собирается обнаружить и исправить другие потенциальные уязвимости до того, как их обнаружат и смогут использовать хакеры.