Le principal fabricant de guichets automatiques Bitcoin, General Bytes, a révélé que des pirates avaient volé de la crypto-monnaie à l’entreprise et à ses clients en utilisant une vulnérabilité zero-day dans sa plate-forme de gestion BATM.
General Bytes fabrique des guichets automatiques Bitcoin permettant aux gens d’acheter ou de vendre plus de 40 crypto-monnaies.
Les clients peuvent déployer leurs guichets automatiques à l’aide de serveurs de gestion autonomes ou du service cloud General Bytes.
Au cours du week-end, la société a révélé que des pirates avaient exploité une vulnérabilité zero-day suivie sous le nom de BATM-4780 pour télécharger à distance une application Java via l’interface de service principale d’ATM et l’exécuter avec les privilèges d’utilisateur « batm ».
« L’attaquant a scanné l’espace d’adressage IP d’hébergement du cloud Digital Ocean et identifié les services CAS en cours d’exécution sur les ports 7741, y compris le service General Bytes Cloud et d’autres opérateurs ATM GB exécutant leurs serveurs sur Digital Ocean (notre fournisseur d’hébergement cloud recommandé) », a expliqué General Bytes.
dans une divulgation d’incident de sécurité. La société s’est adressée à Twitter pour exhorter les clients à « prendre des mesures immédiates » et à installer les dernières mises à jour pour protéger leurs serveurs et leurs fonds contre les attaquants.
Après avoir téléchargé l’application Java, les pirates ont pu effectuer les actions suivantes sur les appareils compromis :
- Possibilité d’accéder à la base de données.
- Capacité à lire et à décrypter les clés API utilisées pour accéder aux fonds dans les portefeuilles chauds et les échanges.
- Envoyez des fonds à partir de portefeuilles chauds. Téléchargez les noms d’utilisateur, leurs hachages de mot de passe et désactivez 2FA.
- Possibilité d’accéder aux journaux d’événements du terminal et de rechercher toute instance où les clients ont scanné des clés privées au guichet automatique.
- Les anciennes versions du logiciel ATM enregistraient ces informations.
General Bytes a averti que ses clients et son propre service cloud avaient été piratés lors des attaques. « Le service GENERAL BYTES Cloud a été piraté ainsi que les serveurs autonomes d’autres opérateurs », souligne le communiqué.
Bien que la société ait révélé combien d’argent l’attaquant a volé, elle a fourni une liste d’adresses de crypto-monnaie utilisées par le pirate lors de l’attaque.
Ces adresses montrent que le pirate a commencé à voler la crypto-monnaie des serveurs Bitcoin ATM le 17 mars, l’adresse Bitcoin de l’attaquant recevant 56,28570959 BTC, d’une valeur d’environ 1 589 000 $, et 21,79436191 Ethereum, d’une valeur d’environ 39 000 $.
Alors que le portefeuille Bitcoin contient toujours la crypto-monnaie volée, les acteurs de la menace semblent avoir utilisé Uniswap pour convertir l’Ethereum volé en USDT.
Mettre à niveau les serveurs maintenant
Les administrateurs CAS (Crypto Application Server) sont invités à examiner leurs fichiers journaux « master.log » et « admin.log » pour détecter tout intervalle de temps suspect causé par la suppression par l’attaquant d’entrées de journal pour dissimuler ses actions sur l’appareil.
Le rapport de General Byte a également averti que les applications JAVA malveillantes téléchargées apparaîtraient dans le dossier « /batm/app/admin/standalone/deployments/ » en tant que fichiers .war et .war.deployed nommés au hasard, comme indiqué ci-dessous. La société note que les noms de fichiers sont probablement différents par victime.
Ceux qui ne présentent aucun signe de violation doivent toujours considérer que tous leurs mots de passe CAS et clés API sont compromis et les invalider immédiatement et en générer de nouveaux.
Tous les mots de passe des utilisateurs doivent également être réinitialisés.
Des instructions détaillées étape par étape pour tous les opérateurs de serveurs sur la protection de leurs terminaux sont incluses dans la déclaration de l’entreprise.
Fermeture du service cloud
General Bytes dit qu’ils ferment son service cloud, déclarant qu’il est « théoriquement (et pratiquement) impossible » de le protéger des mauvais acteurs alors qu’il doit simultanément fournir un accès à plusieurs opérateurs.
La société fournira une assistance pour la migration des données à ceux qui souhaitent installer leur propre CAS autonome, qui devrait désormais être placé derrière un pare-feu et un VPN.
General Byte a également publié un correctif de sécurité CAS qui corrige la vulnérabilité exploitée, fourni dans deux correctifs, 20221118.48 et 20230120.44. Il souligne également que le système piraté a subi plusieurs audits de sécurité depuis 2021, mais aucun n’a identifié la vulnérabilité exploitée.
De plus, les chercheurs de l’échange de crypto-monnaie Kraken ont découvert de multiples vulnérabilités dans les guichets automatiques de General Bytes en 2021, que la société a rapidement corrigées.
Cependant, même avec ces audits de sécurité, en août 2022, General Bytes a eu un incident de sécurité où des pirates ont exploité une vulnérabilité zero-day dans ses serveurs ATM pour voler la crypto-monnaie de ses clients.
La société a annoncé son intention de mener de nombreux audits de sécurité de ses produits par plusieurs sociétés sur une courte période afin de découvrir et de corriger d’autres failles potentielles avant que de mauvais acteurs ne les trouvent.