해커들이 제로데이 버그를 이용해 비트코인 ATM에서 암호화폐를 훔쳤다

위협 행위자들은 General Bytes 비트코인 ATM 서버의 제로데이 버그를 이용해 이 ATM을 통해 비트코인을 구매하거나 입금한 고객으로부터 암호화폐를 훔쳤습니다.

General Bytes는 현재 전 세계에 9,000개 이상의 암호화폐 ATM이 설치된 가장 큰 비트코인, 블록체인 및 암호화폐 ATM 제조업체 중 하나입니다. 이 제품을 기반으로 사람들은 40종 이상의 다양한 암호화폐를 구매, 거래 또는 입금할 수 있습니다.

회사가 제조한 비트코인 ATM은 원격 Crypto Application Server (CAS)로 제어되며, 이는 ATM의 전체 운영을 관리합니다. 여기에는 지원되는 암호화폐, 거래소에서의 실시간 암호화폐 구매 및 판매, 거래를 위한 코인 추가 또는 삭제가 포함됩니다.

General Bytes가 8월 18일 발표한 권고문에서 회사는 제로데이 결함의 존재를 인정하고 공격자가 CAS 관리 인터페이스의 보안 취약점을 악용했다고 밝혔습니다.

“공격자는 서버의 기본 설치에 사용되는 페이지에서 URL 호출을 통해 CAS 관리 인터페이스를 통해 원격으로 관리 사용자를 생성할 수 있었습니다. 이 취약점은 CAS 소프트웨어의 20201208 버전 이후로 존재해왔습니다.”라고 General Bytes의 권고문에 적혀 있습니다.

General Bytes는 해커들이 Digital Ocean 클라우드 호스팅 IP 주소 공간을 스캔하고 포트 7777 또는 443에서 실행 중인 CAS 서비스를 식별했다고 믿고 있습니다. 여기에는 Digital Ocean과 General Bytes의 자체 클라우드 서비스에서 호스팅되는 서버가 포함됩니다.

이 보안 취약점을 이용하여 위협 행위자들은 새로운 기본 관리 사용자, 조직 및 단말기를 생성했습니다. 이후 그들은 CAS 인터페이스에 접근하여 기본 관리 사용자의 이름을 ‘gb’로 변경하고, 두 방향 기계의 암호화 설정을 자신의 지갑 설정과 ‘유효하지 않은 결제 주소’ 설정으로 수정했습니다.

이 수정된 설정은 공격자가 CAS에서 수신한 모든 암호화폐를 자신의 지갑으로 전달할 수 있게 했습니다. “두 방향 ATM은 고객이 ATM에 코인을 보낼 때 공격자의 지갑으로 코인을 전달하기 시작했습니다.”라고 보안 권고문은 설명합니다.

회사는 2020년 설립 이후 여러 차례 보안 감사를 수행했지만, 그 중 어느 것도 취약점을 식별하지 못했다고 밝혔습니다. 공격은 회사가 ATM에서 우크라이나 지원 기능을 공개적으로 발표한 지 3일 후에 발생했습니다.

General Bytes는 위협 행위자들이 호스트 운영 시스템, 호스트 파일 시스템, 데이터베이스 또는 비밀번호, 비밀번호 해시, 솔트, 개인 키 또는 API 키에 접근하지 못했다고 주장합니다.

회사는 CAS 보안 수정을 두 개의 서버 패치 릴리스인 20220531.38 및 20220725.22에서 제공했습니다. 고객들에게는 위에서 언급한 패치 릴리스를 서버에 설치할 때까지 비트코인 ATM 운영을 자제할 것을 촉구하고 있습니다.

회사는 또한 서비스를 사용하기 전에 장치에서 수행해야 할 단계의 체크리스트를 제공했습니다.

추가로, CAS 관리 인터페이스에 대한 접근이 ATM의 위치나 고객의 사무실과 같은 승인된 IP 주소에서만 가능하도록 서버의 방화벽 설정을 수정할 것을 권장합니다.

현재 18개의 General Bytes Crypto Application Servers가 여전히 인터넷에 노출되어 있으며, 이는 제로데이 공격에 취약할 수 있습니다. 이러한 노출된 서버의 대부분은 캐나다에 위치하고 있습니다.

제로데이 취약점으로 인해 얼마나 많은 서버가 침해되었고, 지금까지 얼마나 많은 암호화폐가 도난당했는지는 불확실합니다.