Dijital paraları sıcak cüzdanlarda saklamayın! Bu harika bir tavsiye ama her zaman takip edilemez.
 |
| General Bytes tarafından satılan bir BATM. |
Kiosk üreticisi, bilgisayar korsanlarının sıfır gün güvenlik açığından yararlanarak kripto para birimi ATM'lerinden milyonlarca dolar dijital para çektiğini ve müşterileri geri dönüşü olmayan kayıplar için zor durumda bıraktığını açıkladı.
Soygun, dünya çapında birden fazla lokasyona sahip bir şirket olan General Bytes tarafından satılan ATM'leri hedef aldı. Bitcoin ATM'lerinin kısaltması olan bu BATM'ler, marketlerde ve diğer işletmelerde insanların bitcoin'i diğer para birimleriyle değiştirmesine izin vermek için kurulabilir ve bunun tersi de geçerlidir. Müşteriler, BATM'leri yönetebilecekleri veya şimdiye kadar General Bytes'ın kendileri için yönetebildiği bir kripto uygulama sunucusuna (CAS) bağlar. Tamamen açık olmayan nedenlerden dolayı BATM'ler, müşterilerin ana sunucu arabirimi olarak bilinen bir mekanizmayı kullanarak terminalden CAS'a video yüklemesine izin veren bir seçenek sunar.
Gidiyor gidiyor gitti
Hafta sonu General Bytes, şirket ve müşteriler tarafından işletilen CAS'lardan 1,5 milyon dolardan fazla bitcoin çekildiğini açıkladı. Soygunu gerçekleştirmek için bilinmeyen bir tehdit aktörü, kötü amaçlı bir Java uygulamasını yüklemek ve yürütmek için bu arabirimi kullanmasına izin veren önceden bilinmeyen bir güvenlik açığından yararlandı. Oyuncu daha sonra yaklaşık 1,5 milyon dolar değerindeki yaklaşık 56 BTC'lik çeşitli sıcak cüzdanları boşalttı. General Bytes, güvenlik açığını öğrendikten 15 saat sonra yama yaptı, ancak kripto para birimlerinin çalışma şekli nedeniyle kayıplar kurtarılamazdı.
General Bytes yetkilileri şunları yazdı:
17-18 Mart gecesi bizim ve bazı müşterilerimiz için en zorlayıcı zamandı. Tüm ekip, güvenlik ihlaliyle ilgili tüm verileri toplamak için gece gündüz çalışıyor ve müşterilerin tekrar çevrimiçi olmalarına ve ATM'lerini mümkün olan en kısa sürede çalıştırmaya devam etmelerine yardımcı olmak için tüm vakaları çözmek için sürekli çalışıyor. Olanlar için özür dileriz ve tüm güvenlik prosedürlerimizi gözden geçireceğiz ve şu anda etkilenen müşterilerimizi ayakta tutmak için elimizden gelen her şeyi yapıyoruz.
Gönderi, saldırının akışının şöyle olduğunu söyledi:
1. Saldırgan, BATM'lerin videoları CAS'a yüklemek için kullandığı ana hizmet arayüzünde bir güvenlik açığı tespit etti.
2. Saldırgan, sunucularını Digital Ocean üzerinde çalıştıran General Bytes Cloud hizmeti ve diğer BATM operatörleri dahil olmak üzere 7741 numaralı bağlantı noktalarında çalışan CAS hizmetlerini belirlemek için bulut ana bilgisayarı DigitalOcean Ocean tarafından yönetilen IP adresi alanını taradı.
3. Saldırgan, güvenlik açığından yararlanarak Java uygulamasını doğrudan yönetici arabirimi tarafından kullanılan uygulama sunucusuna yükledi. Uygulama sunucusu, varsayılan olarak, dağıtım klasöründeki uygulamaları başlatacak şekilde yapılandırılmıştır.
Kötü niyetli uygulama bir sunucuda çalıştırıldıktan sonra, tehdit aktörü (1) veritabanına erişebildi, (2) sıcak cüzdanlar ve borsalardaki fonlara erişmek için gereken şifrelenmiş API anahtarlarını okuyup şifrelerini çözebildi, (3) sıcak cüzdanlardan başkasına para aktarabildi. tehdit aktörü tarafından kontrol edilen bir cüzdan, (4) kullanıcı adlarını ve parola karmalarını indirin ve 2FA'yı kapatın ve (5) terminal olay günlüklerine erişin ve müşterilerin ATM'de özel anahtarları taradığı örnekleri tarayın. 5. adımdaki hassas veriler, ATM yazılımının eski sürümleri tarafından kaydedilmiştir.
BATM müşterileri artık kendi başlarına
Bundan böyle, bu haftasonu gönderisinde General Bytes'in artık müşteriler adına CASE'leri yönetmeyeceği belirtildi. Bu, terminal sahiplerinin sunucuları kendilerinin yönetmesi gerekeceği anlamına gelir. Şirket ayrıca, saldırıyla ilgili tüm kayıpları doğrulamak için müşterilerden veri toplama, dahili bir soruşturma yürütme ve tehdit aktörünü belirlemek için yetkililerle işbirliği yapma sürecindedir.
General Bytes, şirketin "2021'den bu yana birden fazla güvenlik denetimi" aldığını ve hiçbirinin istismar edilen güvenlik açığını tespit etmediğini söyledi. Şirket şimdi BATM'lerini güvence altına almak için daha fazla yardım arama sürecinde.
Olay, kripto para birimlerini, genellikle sıcak cüzdanlar olarak adlandırılan, İnternet üzerinden erişilebilen cüzdanlarda saklama riskinin altını çiziyor. Yıllar geçtikçe, kripto para birimi altyapılarındaki çeşitli güvenlik açıklarından yararlanan veya cüzdan sahiplerini para çekme işlemleri için gerekli şifreleme anahtarlarını sağlamaları için kandıran saldırganlar tarafından sıcak cüzdanlarda anlatılmamış miktarda dijital para yasadışı bir şekilde boşaltıldı.
Güvenlik uygulayıcıları uzun süredir insanlara paralarını soğuk cüzdanlarda saklamalarını tavsiye ediyor, yani bu cüzdanlara doğrudan İnternet erişimi yok. Ne yazık ki, BATM'ler ve diğer kripto para birimi ATM'leri genellikle bu en iyi uygulamayı takip edemez çünkü gerçek zamanlı olarak işlem yapabilmeleri için terminallerin sıcak cüzdanlara bağlanması gerekir. Bu, BATM'lerin bilgisayar korsanları için birincil hedef olmaya devam edeceği anlamına gelir.
