Мережа криптоматів General Bytes зазнала атаки
Відомий виробник криптоматів General Bytes (GB) повідомив про злом своєї хмарної платформи. Хакер, встановивши шкідливе ПЗ, отримав доступ до активів користувачів, викравши понад $1,6 млн у криптовалютах BTC та ETH.
В інформаційному бюлетені, опублікованому General Bytes, зазначено, що завдяки уразливості зловмисник отримав змогу віддалено завантажувати на криптомати компанії Java-застосунки. З їх допомогою він отримав доступ до інформації користувачів та інших даних, а також викрав криптоактиви з гарячих гаманців. Компанія зупинила роботу свого хмарного сервісу, але криптомати, під’єднані до сторонніх серверів, залишаються уразливими до таких дій.
Хакери можуть отримати доступ до бази даних. Можуть читати та дешифрувати API-ключі, що використовуються для доступу до активів на гарячих гаманцях та біржах, а також виводити з них активи. Вони можуть отримати доступ до конфіденційної інформації користувачів, завантажити хеші їхніх паролів та вимикати двофакторну аутентифікацію (2FA), ― повідомив засновник General Bytes Карел Кіовський (Karel Kyovsky).
Деталі атаки на General Bytes
Для злому системи зловмисник скористався «вразливістю нульового дня» (що вже отримала у компанії назву BATM-4780), отримавши доступ до мережі через платформу керування криптоматами BATM.
У бюлетені зазначено, що хакер просканував IP-адреси хмарного хостингу Digital Ocean (послугами якого користується General Bytes) і виявив запущені служби CAS (Crypto Application Server) на портах 7741, включно зі службою General Bytes Cloud та іншими операторами — агентами GB.
Хакер віддалено завантажив Java-програму, скориставшись інтерфейсом завантаження відеофайлів, та запустив її з привілеями користувача «batm», після чого отримав доступ до сервера CAS. За замовчуванням сервер CAS налаштовано на автоматичний запуск застосунків з певного «дефолтного» каталогу.
Реакція компанії
Щойно атака була виявлена, представники General Bytes через Twitter звернулися до партнерів та агентів, які використовують криптомати GB, із закликом «негайно вжити заходів» і встановити останні оновлення, які були оперативно створені, щоб захистити сервери та кошти від зазіхань зловмисників.
Після завантаження Java-програми хакери отримали можливість виконувати такі дії на скомпрометованих пристроях:
- доступ до бази даних;
- читання та дешифрування API-ключів, які використовуються для доступу до коштів на гарячих гаманцях та біржах;
- переказ коштів з гарячих гаманців;
- доступ до імен користувачів, хешів їхніх паролів з можливістю вимкнення 2FA;
- доступ до журналів подій термінала (log-файлів) та пошуку будь-яких випадків, коли клієнти використовували приватні ключі на пристроях — старі версії програмного забезпечення криптоматів фіксували та зберігали цю інформацію.
Хоча компанія розкрила дані про те, скільки коштів поцупив зловмисник, вона також надала список адрес криптовалютних гаманців, які використовував хакер під час атаки. Встановлено, що він розпочав виводити криптовалюту з серверів біткоїн-банкоматів ще 17 березня, до того ж на гаманці зловмисника було переказано понад 56 BTC на суму приблизно $1,589,000 млн та понад 21 ETH — на суму майже $39,000 тис. за поточним курсом.
Попри те, що гаманці хакера все ще містять вкрадену криптовалюту, він у будь-який момент може здійснити її обмін на інші активи через різні DEX, наприклад Uniswap або криптоміксер.
Закриття хмарного сервісу
Представники General Bytes повідомили про рішення компанії щодо закриття свого хмарного сервісу, зазначивши, що теоретично (та й практично) неможливо захистити його від атак зловмисників, коли він повинен одночасно надавати доступ декільком різним операторам.
Усі клієнти переводяться на власні автономні CAS-сервери замість одного централізованого рішення.
Компанія надаватиме підтримку щодо міграції даних тим партнерам та агентам, які вирішили встановити власний автономний CAS, що тепер з метою безпеки повинен бути розміщеним за брандмауером і VPN.
Компанія General Bytes також оперативно, протягом 15 годин (!), випустила оновлення (патчі) у двох пакетах (20221118.48 і 20230120.44), що усувають виявлену уразливість в безпеці CAS.
Компанія наразі збирає дані від клієнтів, щоб підтвердити та засвідчити фінансові втрати, а також співпрацює з правоохоронними органами, щоб ідентифікувати особу злочинця.
За інформацією від General Bytes, компанія планує за короткий період провести численні перевірки безпеки своїх продуктів та сервісів, щоб виявити та виправити інші потенційні недоліки до того, як їх знайдуть зловмисники.
Що ж, дуже слушний та своєчасний хід!
Про компанію
General Bytes — це провідний світовий виробник криптоматів з головним офісом у Празі (Чехія) та представництвами у США, Великій Британії, Естонії та Панамі. У власності компанії з 2013 року перебуває понад 13 700 криптоматів у 143 країнах, скориставшись якими можна придбати понад 40 різних криптоактивів за готівку або з використанням платіжних карток.
