Agrandir / Un BATM vendu par General Bytes.
Octets généraux
Les pirates ont drainé des millions de dollars en pièces numériques des guichets automatiques de crypto-monnaie en exploitant une vulnérabilité de jour zéro, laissant les clients sur le crochet pour des pertes qui ne peuvent pas être annulées, a révélé le fabricant de kiosques.
Le cambriolage visait des guichets automatiques vendus par General Bytes, une société ayant plusieurs sites à travers le monde. Ces BATM, abréviation de guichets automatiques Bitcoin, peuvent être installés dans des dépanneurs et d’autres entreprises pour permettre aux gens d’échanger des bitcoins contre d’autres devises et vice versa. Les clients connectent les BATM à un serveur d’application cryptographique (CAS) qu’ils peuvent gérer ou, jusqu’à présent, que General Bytes pouvait gérer pour eux. Pour des raisons qui ne sont pas tout à fait claires, les BATM offrent une option qui permet aux clients de télécharger des vidéos du terminal vers le CAS en utilisant un mécanisme connu sous le nom d’interface de serveur maître.
Va, va, parti
Au cours du week-end, General Bytes a révélé que plus de 1,5 million de dollars de bitcoins avaient été drainés des CAS exploités par la société et par les clients. Pour réussir le braquage, un acteur malveillant inconnu a exploité une vulnérabilité jusque-là inconnue qui lui permettait d’utiliser cette interface pour télécharger et exécuter une application Java malveillante. L’acteur a ensuite vidé divers portefeuilles chauds d’environ 56 BTC, d’une valeur d’environ 1,5 million de dollars. General Bytes a corrigé la vulnérabilité 15 heures après en avoir pris connaissance, mais en raison du fonctionnement des crypto-monnaies, les pertes étaient irrécupérables.
Les responsables de General Bytes ont écrit :
La nuit du 17 au 18 mars a été la période la plus difficile pour nous et certains de nos clients. Toute l’équipe a travaillé 24 heures sur 24 pour collecter toutes les données concernant la faille de sécurité et travaille en permanence pour résoudre tous les cas afin d’aider les clients à se remettre en ligne et à continuer à exploiter leurs guichets automatiques dès que possible. Nous nous excusons pour ce qui s’est passé et allons revoir toutes nos procédures de sécurité et faisons actuellement tout notre possible pour maintenir nos clients concernés à flot.
Le message a déclaré que le flux de l’attaque était:
Publicité
1. L’attaquant a identifié une faille de sécurité dans l’interface de service principale utilisée par les BATM pour télécharger des vidéos sur le CAS.
2. L’attaquant a scanné l’espace d’adressage IP géré par l’hôte cloud DigitalOcean Ocean pour identifier les services CAS en cours d’exécution sur les ports 7741, y compris le service General Bytes Cloud et d’autres opérateurs BATM exécutant leurs serveurs sur Digital Ocean.
3. Exploitant la vulnérabilité, l’attaquant a téléchargé l’application Java directement sur le serveur d’applications utilisé par l’interface d’administration. Le serveur d’applications était, par défaut, configuré pour démarrer les applications dans son dossier de déploiement.
Une fois l’application malveillante exécutée sur un serveur, l’auteur de la menace a pu (1) accéder à la base de données, (2) lire et décrypter les clés API codées nécessaires pour accéder aux fonds dans les portefeuilles chauds et les échanges, (3) transférer des fonds des portefeuilles chauds vers un portefeuille contrôlé par l’auteur de la menace, (4) télécharger les noms d’utilisateur et les hachages de mot de passe et désactiver 2FA, et (5) accéder aux journaux d’événements du terminal et rechercher les cas où les clients ont scanné les clés privées au guichet automatique. Les données sensibles de l’étape 5 avaient été enregistrées par des versions plus anciennes du logiciel ATM.
Les clients BATM seuls maintenant
À l’avenir, selon le message de ce week-end, General Bytes ne gérera plus les CAS au nom des clients. Cela signifie que les détenteurs de terminaux devront gérer eux-mêmes les serveurs. La société est également en train de collecter des données auprès des clients pour valider toutes les pertes liées au piratage, de mener une enquête interne et de coopérer avec les autorités pour tenter d’identifier l’auteur de la menace.
General Bytes a déclaré que la société avait reçu “plusieurs audits de sécurité depuis 2021” et qu’aucun d’entre eux n’avait détecté la vulnérabilité exploitée. L’entreprise est maintenant en train de chercher de l’aide supplémentaire pour sécuriser ses BATM.
L’incident souligne le risque de stockage de crypto-monnaies dans des portefeuilles accessibles sur Internet, communément appelés portefeuilles chauds. Au fil des ans, les portefeuilles chauds ont été illégalement vidés de quantités incalculables de pièces numériques par des attaquants qui exploitent diverses vulnérabilités dans les infrastructures de crypto-monnaie ou en incitant les détenteurs de portefeuille à fournir les clés de cryptage nécessaires pour effectuer des retraits.
Les praticiens de la sécurité conseillent depuis longtemps aux gens de stocker des fonds dans des portefeuilles froids, ce qui signifie qu’ils ne sont pas directement accessibles sur Internet. Malheureusement, les BATM et autres types de guichets automatiques de crypto-monnaie ne peuvent généralement pas suivre cette meilleure pratique car les terminaux doivent être connectés à des portefeuilles chauds afin qu’ils puissent effectuer des transactions en temps réel. Cela signifie que les BATM resteront probablement une cible de choix pour les pirates.