Компания регулярно проводила аудиты безопасности, но злоумышленники нашли уязвимость раньше.

Ведущий производитель биткойн-банкоматов General Bytes заявил, что хакерам удалось украсть криптовалюту у компании и её клиентов, используя уязвимость нулевого дня в платформе управления BATM.

General Bytes производит биткойн-банкоматы, позволяющие людям покупать или продавать свыше 40 виртуальных криптомонет. Корпоративные клиенты компании могут развернуть свои банкоматы с помощью автономных серверов управления или облачной службы General Bytes.

На выходных компания сообщила, что хакеры воспользовались уязвимостью нулевого дня, отслеживаемой как BATM-4780, для удаленной загрузки вредоносного Java-приложения через главный сервисный интерфейс банкомата.

«Злоумышленник просканировал пространство IP-адресов облачного хостинга Digital Ocean и обнаружил работающие службы CAS на портах 7741, включая облачную службу General Bytes», — пояснили в General Bytes.

Компания выпустила экстренное заявление в Twitter, чтобы призвать клиентов «принять незамедлительные меры» и установить последние обновления для защиты своих серверов и денежных средств от киберпреступников.

Официальное заявление компании в Twitter

Как сообщается самой компанией, после загрузки вредоносного Java-приложения злоумышленники получили возможность выполнять следующие действия на скомпрометированных устройствах:

  • возможность доступа к базе данных компании;
  • возможность чтения и расшифровки API-ключей, используемых для доступа к средствам в криптокошельках и биржах;
  • перевод средств с криптокошельков;
  • скачивание имён пользователей, их хэшей паролей и отключение 2FA;
  • возможность доступа к журналам событий терминала и поиску случаев, когда клиенты сканировали закрытые ключи в банкомате.

«Облачный сервис General Bytes был взломан точно так же, как и автономные серверы других операторов», — подчеркивается в заявлении компании.

General Bytes также предоставила длинный список криптовалютных адресов, использованных хакерами во время атаки. По данным компании, кибербандиты начали красть криптовалюту с серверов биткойн-банкоматов 17 марта, при этом биткойн-адрес хакеров получил 56,28570959 BTC на сумму около 1 589 000 долларов и 21,79436191 Ethereum на сумму около 39 000 долларов.

Хотя биткойн-кошелек злоумышленников всё ещё содержит украденную криптовалюту, похоже, киберпреступники использовали Uniswap для конвертации украденного Ethereum в USDT.

General Bytes рекомендовала администраторам CAS (Crypto Application Server) проверять файлы журналов на наличие любых подозрительных активностей, а пользователям — в обязательном порядке сменить пароли от своих криптокошельков.

Компания заявила, что закрывает свой облачный сервис, так как считает «теоретически и практически невозможным» защитить его от злоумышленников. В ближайшее время компания перенесёт всю инфраструктуру к другому облачному провайдеру.

General Bytes также выпустила два исправления безопасности CAS, которые устраняют использованную хакерами уязвимость. Весьма занимательно, что с 2021 года взломанная система подвергалась множественным проверкам безопасности, но ни одна из них не выявила уязвимость, благодаря которой злоумышленники «сорвали куш».

Компания заявляет, что в ближайшее время планирует провести многочисленные аудиты безопасности своих продуктов с помощью нескольких сторонних компаний, занимающихся кибербезопасностью. Так General Bytes собирается обнаружить и исправить другие потенциальные уязвимости до того, как их обнаружат и смогут использовать хакеры.

Источник: securitylab