A fabricante de caixas eletrônicos de Bitcoin (ATMs), General Bytes, teve seus servidores comprometidos por meio de um ataque de dia zero que permitiu que hackers se tornassem os administradores padrão e modificassem as configurações para que todos os fundos fossem transferidos para o endereço da carteira.
A quantidade de fundos roubados e o número de ATMs comprometidos não foram divulgados, mas a empresa aconselhou urgentemente os operadores de caixas eletrônicos a atualizar seu software.
O hack foi confirmado pela General Bytes, que possui e opera 8.827 caixas eletrônicos Bitcoin acessíveis em mais de 120 países. A empresa está sediada em Praga, onde também são fabricados os caixas eletrônicos. Os clientes de ATMs podem comprar ou vender mais de 40 moedas.
A vulnerabilidade está presente desde que as modificações do hacker atualizaram seu software Crypto Application Server (CAS) para a versão 20201208.
A General Bytes pediu aos clientes que se abstenham de usar seus servidores ATM da empresa até que atualize seu servidor para as versões de patch 20220725.22 e 20220531.38 para clientes rodando em 20220531.
Os clientes também foram aconselhados a modificar as configurações do firewall do servidor para que a interface de administração do CAS só possa ser acessada a partir de endereços IP autorizados, entre outras coisas.
Antes de reativar os terminais, a General Bytes também lembrou aos clientes que revisassem sua “SELL Crypto Setting” para garantir que os hackers não modificassem as configurações de modo que quaisquer fundos recebidos fossem transferidos para eles (e não para os clientes).
A General Bytes afirmou que várias auditorias de segurança foram realizadas desde seu início em 2020, nenhuma das quais identificou essa vulnerabilidade.
Como aconteceu o ataque?
A equipe de consultoria de segurança afirmou no blog que os hackers realizaram um ataque de vulnerabilidade de dia zero para obter acesso ao CAS da empresa e extrair os fundos.
O servidor CAS gerencia toda a operação do caixa eletrônico, que inclui a execução de compra e venda de criptomoedas em exchanges e quais moedas são suportadas.
A empresa acredita que os hackers “examinaram servidores expostos em execução nas portas TCP 7777 ou 443, incluindo servidores hospedados no próprio serviço de nuvem da General Bytes”.
A partir daí, os hackers se adicionaram como um administrador padrão no CAS, chamado Gb, e então modificaram as configurações de “comprar” e “vender” para que qualquer criptomoeda recebida pelo caixa eletrônico do Bitcoin fosse transferida para o endereço da carteira do hacker:
“O invasor conseguiu criar um usuário administrador remotamente por meio da interface administrativa do CAS por meio de uma chamada de URL na página que é usada para a instalação padrão no servidor e para a criação do primeiro usuário administrativo.”
