Il 18 agosto il produttore di ATM Bitcoin General Bytes ha subito un attacco zero-day che ha permesso agli hacker di diventare amministratori di default e di modificare le impostazioni in modo che tutti i fondi venissero trasferiti ai loro portafogli.
L'ammontare dei fondi rubati e il numero di bancomat compromessi non sono stati resi noti, ma l'azienda ha consigliato agli operatori di ATM di aggiornare il proprio software con la massima urgenza.
L'hack è stato confermato il 18 agosto da General Bytes, che possiede e gestisce 8827 ATM Bitcoin accessibili in oltre 120 Paesi. La società ha sede a Praga, nella Repubblica Ceca, dove vengono prodotti anche i bancomat. I clienti possono acquistare o vendere oltre 40 monete.
La vulnerabilità risulta presente da quando le modifiche apportate dall'hacker hanno aggiornato il software CAS alla versione 20201208 il 18 agosto. General Bytes ha invitato i clienti ad evitare di utilizzare i loro server ATM fino a quando non aggiorneranno i loro server alla patch 20220725.22 e 20220531.38 per i clienti che utilizzano la versione 20220531.
Inoltre è stato consigliato di modificare le impostazioni del firewall del server in modo che l'interfaccia di amministrazione CAS sia accessibile solo da indirizzi IP autorizzati. Prima di riattivare i terminali, General Bytes ha anche ricordato ai clienti di rivedere le loro "SELL Crypto Setting" per assicurarsi che gli hacker non abbiano modificato le impostazioni in modo che i fondi ricevuti vengano trasferiti a loro (e non ai clienti).
General Bytes ha dichiarato che dalla sua nascita nel 2020 sono stati condotti diversi controlli di sicurezza, nessuno dei quali ha individuato questa vulnerabilità.
Come è avvenuto l'attacco
Il team responsabile della sicurezza di General Bytes ha dichiarato nel blog che gli hacker hanno condotto un attacco zero-day per ottenere l'accesso al Crypto Application Server (CAS) dell'azienda ed estrarre i fondi. Il server CAS gestisce l'intero funzionamento del bancomat, che include l'esecuzione di acquisti e vendite di criptovalute su exchange e quali monete sono supportate.
L'azienda ritiene che gli hacker abbiano "scansionato i server esposti in esecuzione sulle porte TCP 7777 o 443, compresi i server ospitati sul servizio cloud di General Bytes".
Da lì, gli hacker si sono aggiunti come amministratore predefinito sul CAS, chiamato gb, e hanno poi modificato le impostazioni di "acquisto" e "vendita" in modo che tutte le criptovalute ricevute dal Bitcoin ATM venissero trasferite ai loro indirizzi wallet:
"L'utente malintenzionato è stato in grado di creare un utente amministratore in remoto tramite l'interfaccia amministrativa CAS, grazie a una chiamata URL sulla pagina utilizzata per l'installazione predefinita sul server e la creazione del primo utente di amministrazione."