Gli hacker hanno sfruttato una vulnerabilità zero-day nei server General Bytes Bitcoin ATM, permettendo loro di rubare criptovalute dai clienti che hanno acquistato o depositato bitcoin attraverso questi bancomat.
Gli hacker utilizzano General Byte come strumento ATM per Bitcoin per rubare denaro
Un exploit zero-day il 18 agosto ha consentito agli hacker di accedere ai server di General Bytes, un produttore di bancomat Bitcoin, e di modificare le impostazioni per diventare amministratori predefiniti e ricevere tutti i pagamenti al proprio indirizzo di portafoglio.
La società ha esortato gli operatori ATM ad aggiornare il loro software il prima possibile, ma non sono resi noti né la quantità di denaro prelevata né il numero di ATM interessati.
I bancomat Bitcoin vulnerabili
General Bytes, che possiede e gestisce 8827 ATM Bitcoin in più di 120 paesi, ha confermato l’hacking il 18 agosto. La società ha sede a Praga, nella Repubblica Ceca, che è anche il luogo di produzione di tali dispositivi ATM. Più di 40 monete sono disponibili per l’acquisto o la vendita da parte degli utenti di ATM.
La falla è presente dal 18 agosto, quando il software CAS ha visto aggiornamento alla versione 20201208 a seguito delle alterazioni dell’hacker.
Si consiglia ai clienti di attendere che i loro server ATM General Bytes siano aggiornati alle versioni di patch 20220725.22 e 20220531.38 per i clienti che operano su 20220531 prima di utilizzare i loro server.
Inoltre, i clienti sono stati invitati a modificare le impostazioni del firewall sui propri server in modo che solo gli indirizzi IP approvati possano accedere all’interfaccia di amministrazione CAS.
I clienti hanno anche ricevuto il suggerimento da General Bytes di controllare la loro “impostazione SELL Crypto” prima di riavviare i terminali. Così da assicurarsi che gli hacker non modificassero le impostazioni in modo che il denaro ricevuto fosse invece inviato a loro (e non ai clienti).
General Bytes ha visto frequenti e numerosi controlli di sicurezza sin dalla sua fondazione nel 2020, ma nessuno di loro ha riscontrato questa vulnerabilità.
Gli hacker sfruttano la vulnerabilità zero-day di CAS
Gli hacker hanno ottenuto l’accesso al Crypto Application Server (CAS) aziendale utilizzando un exploit di vulnerabilità zero-day. Stando a quanto afferma il team di consulenza sulla sicurezza di General Bytes.
Il server CAS controlla ogni aspetto del funzionamento dell’ATM. Incluso il modo in cui vengono effettuati gli acquisti e le vendite di criptovaluta sugli exchange e quali monete vengono accettate.
Come hanno fatto a portare l’attacco
Gli hacker “hanno scansionato i server esposti in esecuzione sulle porte TCP 7777 o 443, inclusi i server ospitati sul servizio cloud di General Bytes”, afferma la società.
Gli hacker hanno quindi creato un account sul CAS con il nome di amministratore predefinito “gb”. A quel punto anno modificato le impostazioni “acquista” e “vendi” in modo che qualsiasi criptovaluta ricevuta dall’ATM Bitcoin fosse invece inviata all’indirizzo del portafoglio dell’hacker.
Una chiamata URL sulla pagina utilizzata per l’installazione predefinita del server e la creazione del primo utente di amministrazione ha consentito all’autore dell’attacco di creare un utente di amministrazione in remoto tramite l’interfaccia di amministrazione CAS.
La gamma General Bytes BATMTwo ATM presenta “più vulnerabilità hardware e software”, secondo un rapporto del team di Kraken’s Security Labs pubblicato lo scorso anno. Secondo Kraken, se individui malintenzionati hanno accesso allo strumento di amministrazione, possono compromettere qualsiasi ATM Bitcoin che incontrano.
General Bytes ha avvisato i suoi utenti delle vulnerabilità dopo che Kraken le ha divulgate.