Hacker haben Zero-Day-Fehler ausgenutzt, um Kryptowährungen von Bitcoin-ATMs zu stehlen

Bedrohungsakteure haben einen Zero-Day-Fehler in den Bitcoin-ATM-Servern von General Bytes ausgenutzt, der es ihnen ermöglichte, Kryptowährungen von Kunden zu stehlen, die Bitcoin über diese ATMs gekauft oder eingezahlt haben.

General Bytes ist derzeit einer der größten Hersteller von Bitcoin-, Blockchain- und Kryptowährungs-ATMs mit über 9.000 installierten Krypto-ATMs weltweit. Je nach Produkt ermöglicht es den Menschen, über 40 verschiedene Kryptowährungen zu kaufen, zu handeln oder einzuzahlen.

Die von dem Unternehmen hergestellten Bitcoin-ATMs werden von einem Remote Crypto Application Server (CAS) gesteuert, der den gesamten Betrieb des ATMs verwaltet, einschließlich der unterstützten Kryptowährungen, des Echtzeitkaufs und -verkaufs von Krypto an Börsen sowie des Hinzufügens oder Delistings von Coins für Transaktionen.

In einer am 18. August veröffentlichten Mitteilung erkannte General Bytes die Existenz eines Zero-Day-Fehlers an und sagte, dass der Angreifer eine Sicherheitsanfälligkeit in der CAS-Admin-Oberfläche ausgenutzt habe.

„Der Angreifer konnte über die CAS-Administrationsoberfläche einen Admin-Benutzer remote erstellen, indem er einen URL-Aufruf auf der Seite tätigte, die für die Standardinstallation auf dem Server und die Erstellung des ersten Administrationsbenutzers verwendet wird. Diese Sicherheitsanfälligkeit besteht seit der CAS-Softwareversion 20201208“, heißt es in der Mitteilung von General Bytes.

General Bytes glaubt, dass die Hacker den IP-Adressraum des Digital Ocean Cloud-Hostings gescannt und laufende CAS-Dienste auf den Ports 7777 oder 443 identifiziert haben, einschließlich Server, die bei Digital Ocean und dem eigenen Cloud-Service von General Bytes gehostet werden.

Mit dieser Sicherheitsanfälligkeit erstellten die Bedrohungsakteure dann einen neuen Standard-Admin-Benutzer, eine Organisation und ein Terminal. Später griffen sie auf die CAS-Oberfläche zu und benannten den Standard-Admin-Benutzer in „gb“ um und änderten die Krypto-Einstellungen der Zwei-Wege-Maschinen mit ihren Wallet-Einstellungen und der Einstellung „ungültige Zahlungsadresse“.

Diese modifizierten Einstellungen ermöglichten es den Angreifern, jede Kryptowährung, die von CAS empfangen wurde, an ihre Wallets weiterzuleiten. „Zwei-Wege-ATMs begannen, Coins an die Wallet des Angreifers weiterzuleiten, als Kunden Coins an den ATM sendeten“, erklärt die Sicherheitsmitteilung.

Das Unternehmen gab an, dass es seit seiner Gründung im Jahr 2020 mehrere Sicherheitsprüfungen durchgeführt hat, aber keine von ihnen die Sicherheitsanfälligkeit identifiziert hat. Die Angriffe kamen drei Tage, nachdem das Unternehmen die Funktion „Hilfe für die Ukraine“ auf den ATMs öffentlich angekündigt hatte, fügte es hinzu.

General Bytes behauptet, dass die Bedrohungsakteure keinen Zugriff auf das Host-Betriebssystem, das Host-Dateisystem, die Datenbank oder irgendwelche Passwörter, Passwort-Hashes, Salze, privaten Schlüssel oder API-Schlüssel erlangt haben.

Das Unternehmen hat einen CAS-Sicherheitsfix in zwei Server-Patch-Versionen bereitgestellt, 20220531.38 und 20220725.22. Es fordert Kunden, die 20220531 ausführen, auf, den Betrieb ihrer Bitcoin-ATMs einzustellen, bis sie die oben genannten Patch-Versionen auf ihren Servern installiert haben.

Das Unternehmen hat auch eine Checkliste von Schritten bereitgestellt, die an den Geräten durchgeführt werden müssen, bevor die Dienste genutzt werden.

Darüber hinaus wird empfohlen, die Firewall-Einstellungen Ihres Servers so zu ändern, dass die CAS-Admin-Oberfläche nur von autorisierten IP-Adressen, wie vom Standort des ATMs oder dem Büro des Kunden, zugegriffen werden kann.

Derzeit sind 18 Crypto Application Servers von General Bytes noch dem Internet ausgesetzt, die möglicherweise anfällig für einen Zero-Day-Exploit sind. Die Mehrheit dieser exponierten Server befindet sich in Kanada.

Es ist unklar, wie viele Server durch die Zero-Day-Sicherheitsanfälligkeit kompromittiert wurden und wie viel Kryptowährung bis jetzt gestohlen wurde.