Der Hersteller von Bitcoin-Geldautomaten, General Bytes, hatte seine Server am 18. August durch einen Zero-Day-Angriff kompromittiert, der es den Hackern ermöglichte, sich selbst zu Standardadministratoren zu machen und die Einstellungen so zu ändern, dass alle Gelder an ihre Wallet-Adresse überwiesen wurden.
Die Höhe der gestohlenen Gelder und die Anzahl der kompromittierten Geldautomaten wurde nicht bekannt gegeben, aber das Unternehmen hat den Geldautomatenbetreibern dringend geraten, ihre Software zu aktualisieren.
Der Hack war Bestätigt von General Bytes am 18. August, das 8827 Bitcoin-Geldautomaten besitzt und betreibt, die in über 120 Ländern zugänglich sind. Das Unternehmen hat seinen Hauptsitz in Prag, Tschechien, wo auch die Geldautomaten hergestellt werden. ATM-Kunden können über 40 Coins kaufen oder verkaufen.
Die Schwachstelle ist vorhanden, seit die Modifikationen des Hackers die CAS-Software am 18. August auf Version 20201208 aktualisiert haben.
General Bytes hat Kunden aufgefordert, ihre ATM-Server von General Bytes nicht zu verwenden, bis sie ihren Server auf die Patch-Version 20220725.22 und 20220531.38 für Kunden mit 20220531 aktualisiert haben.
Kunden wurde außerdem empfohlen, ihre Server-Firewall-Einstellungen so zu ändern, dass unter anderem nur von autorisierten IP-Adressen auf die CAS-Admin-Oberfläche zugegriffen werden kann.
Vor der Reaktivierung der Terminals erinnerte General Bytes die Kunden auch daran, ihre „SELL Crypto Setting“ zu überprüfen, um sicherzustellen, dass die Hacker die Einstellungen nicht so geändert haben, dass empfangene Gelder stattdessen an sie (und nicht an die Kunden) überwiesen würden.
General Bytes gab an, dass seit seiner Einführung im Jahr 2020 mehrere Sicherheitsprüfungen durchgeführt wurden, von denen keine diese Schwachstelle identifizierte.
Wie es zu dem Angriff kam
Das Sicherheitsberatungsteam von General Bytes gab in dem Blog an, dass die Hacker einen Zero-Day-Schwachstellenangriff durchgeführt haben, um Zugriff auf den Crypto Application Server (CAS) des Unternehmens zu erhalten und die Gelder zu extrahieren.
Der CAS-Server verwaltet den gesamten Betrieb des Geldautomaten, einschließlich der Ausführung des Kaufs und Verkaufs von Krypto an Börsen und welche Coins unterstützt werden.
Verwandt: Anfällig: Kraken enthüllt, dass viele US-Bitcoin-Geldautomaten immer noch standardmäßige Admin-QR-Codes verwenden
Das Unternehmen glaubt, dass die Hacker „nach exponierten Servern gescannt haben, die auf den TCP-Ports 7777 oder 443 laufen, einschließlich Servern, die auf dem eigenen Cloud-Service von General Bytes gehostet werden“.
Von dort fügten sich die Hacker als Standardadministrator auf dem CAS mit dem Namen „gb“ hinzu und modifizierten dann die „Kauf“- und „Verkauf“-Einstellungen so, dass alle vom Bitcoin-Geldautomaten empfangenen Kryptos stattdessen an die des Hackers übertragen wurden Wallet-Adresse:
„Der Angreifer konnte über die CAS-Verwaltungsschnittstelle über einen URL-Aufruf auf der Seite, die für die Standardinstallation auf dem Server verwendet wird, einen Admin-Benutzer aus der Ferne erstellen und den ersten Admin-Benutzer erstellen.“