Pembuat ATM Bitcoin terkemuka General Bytes mengungkapkan bahwa peretas mencuri cryptocurrency dari perusahaan dan pelanggannya menggunakan kerentanan zero-day di platform manajemen BATM-nya.
General Bytes membuat ATM Bitcoin yang memungkinkan orang untuk membeli atau menjual lebih dari 40 cryptocurrency. Pelanggan dapat menggunakan ATM mereka menggunakan server manajemen mandiri atau layanan cloud General Bytes.
Selama akhir pekan, perusahaan mengungkapkan bahwa peretas mengeksploitasi kerentanan zero-day yang dilacak sebagai BATM-4780 untuk mengunggah aplikasi Java dari jarak jauh melalui antarmuka layanan utama ATM dan menjalankannya dengan hak pengguna ‘batm’.
“Penyerang memindai ruang alamat IP hosting cloud Digital Ocean dan mengidentifikasi layanan CAS yang berjalan di port 7741, termasuk layanan General Bytes Cloud dan operator ATM GB lainnya yang menjalankan server mereka di Digital Ocean (penyedia hosting cloud yang kami rekomendasikan),” General Bytes menjelaskan dalam pengungkapan insiden keamanan.
Perusahaan turun ke Twitter untuk mendesak pelanggan untuk “mengambil tindakan segera” dan menginstal pembaruan terbaru untuk melindungi server dan dana mereka dari penyerang.
Setelah mengunggah aplikasi Java, pelaku ancaman dapat melakukan tindakan berikut pada perangkat yang disusupi:
-
Kemampuan untuk mengakses database.
-
Kemampuan untuk membaca dan mendekripsi kunci API yang digunakan untuk mengakses dana di hot wallet dan bursa.
-
Kirim dana dari dompet panas.
-
Unduh nama pengguna, hash kata sandi mereka, dan matikan 2FA.
-
Kemampuan untuk mengakses log peristiwa terminal dan memindai setiap kejadian di mana pelanggan memindai kunci pribadi di ATM. Versi perangkat lunak ATM yang lebih lama mencatat informasi ini.
General Bytes memperingatkan bahwa pelanggannya dan layanan cloud miliknya dilanggar selama serangan tersebut.
“Layanan GENERAL BYTES Cloud dilanggar serta server mandiri operator lain,” menyoroti pernyataan tersebut.
Meskipun perusahaan mengungkapkan berapa banyak uang yang dicuri penyerang, mereka memberikan a daftar alamat cryptocurrency digunakan oleh hacker selama serangan.
Alamat-alamat ini menunjukkan bahwa peretas mulai mencuri mata uang kripto dari server ATM Bitcoin pada 17 Maret, dengan menerima alamat Bitcoin penyerang 56,28570959 BTCbernilai sekitar $1.589.000, dan 21.79436191 Ethereumm, bernilai sekitar $39.000.
Sementara dompet Bitcoin masih berisi cryptocurrency yang dicuri, pelaku ancaman tampaknya telah menggunakan Uniswap untuk mengubah Ethereum yang dicuri menjadi USDT.
Tingkatkan server sekarang
Admin CAS (Crypto Application Server) didesak untuk memeriksa file log “master.log” dan “admin.log” mereka untuk setiap celah waktu yang mencurigakan yang disebabkan oleh penyerang menghapus entri log untuk menyembunyikan tindakan mereka di perangkat.
Laporan General Byte juga memperingatkan bahwa aplikasi JAVA berbahaya yang diunggah akan muncul di folder “/ batm/app/admin/standalone/deployments/” sebagai nama acak .perang Dan .war.dikerahkan file, seperti yang ditunjukkan di bawah ini.
Perusahaan mencatat bahwa nama file kemungkinan berbeda untuk setiap korban.
Mereka yang tidak memiliki tanda-tanda pelanggaran harus tetap mempertimbangkan semua kata sandi CAS dan kunci API mereka dikompromikan dan segera membatalkannya dan membuat yang baru. Semua kata sandi pengguna juga harus diatur ulang.
Petunjuk langkah demi langkah terperinci untuk semua operator server dalam melindungi titik akhir mereka terlampir dalam pernyataan perusahaan.
Menutup layanan cloud
General Bytes mengatakan mereka menutup layanan cloud-nya, menyatakan bahwa “secara teoritis (dan praktis) tidak mungkin” untuk mengamankannya dari aktor jahat ketika harus secara bersamaan menyediakan akses ke banyak operator.
Perusahaan akan memberikan dukungan dengan migrasi data kepada mereka yang ingin menginstal CAS mandiri mereka sendiri, yang sekarang harus ditempatkan di belakang firewall dan VPN.
General Byte juga merilis perbaikan keamanan CAS yang mengatasi kerentanan yang dieksploitasi, tersedia dalam dua tambalan, 20221118.48 dan 20230120.44.
Ini juga menyoroti bahwa sistem yang dilanggar menjalani beberapa audit keamanan sejak 2021, tetapi tidak ada yang mengidentifikasi kerentanan yang dieksploitasi.
Selanjutnya, peneliti dari pertukaran cryptocurrency Kraken menemukan beberapa kerentanan di ATM General Bytes pada tahun 2021, yang diperbaiki dengan cepat oleh perusahaan
Namun, meski dengan audit keamanan ini, pada Agustus 2022, General Bytes mengalami insiden keamanan di mana peretas mengeksploitasi kerentanan zero-day di server ATM-nya untuk mencuri mata uang kripto dari pelanggannya.
Perusahaan mengatakan rencananya untuk melakukan banyak audit keamanan produknya oleh beberapa perusahaan dalam waktu singkat untuk menemukan dan memperbaiki kelemahan potensial lainnya sebelum aktor jahat menemukannya.
