• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky

Útočníci s falešnými administrátorskými účty vybírali peníze z bitcoinových bankomatů od českého prodejce General Bytes

itbiz
26. 8. 2022
| Články

Při návštěvě jeho webových stránek byste to nezjistili, ale General Bytes, český prodejce bitcoinových bankomatů, vyzývá své zákazníky, aby si opravili kritickou chybu v serverovém softwaru, která jim odčerpává peníze.

Společnost tvrdí, že celosvětově prodala více než 13 000 bankomatů, které se prodávají za 5 000 dolarů a více v závislosti na funkcích a designu. Ne všechny země ale přijaly bankomaty na kryptoměny vlídně – například britský regulační úřad v březnu 2022 varoval, že žádný z bankomatů, které v té době v zemi fungovaly, nebyl oficiálně registrován, a prohlásil, že bude „kontaktovat provozovatele s pokynem, aby byla tato zařízení vypnuta“. V té době jsme zkontrolovali i náš místní krypto bankomat a zjistili jsme, že zobrazuje zprávu „Terminal offline“; později pak bylo zařízení z nákupního centra, kde bylo instalováno, odstraněno. Společnost General Bytes nicméně uvádí, že obsluhuje zákazníky ve více než 140 zemích, a její globální mapa umístění bankomatů ukazuje přítomnost na všech kontinentech kromě Antarktidy.

Hlášení bezpečnostního incidentu
Podle produktové znalostní databáze General Bytes byl minulý týden odhalen „bezpečnostní incident“ s nejvyšší úrovní závažnosti. V prohlášení společnosti se uvádí, že „útočník dokázal vzdáleně, přes administrační rozhraní CAS prostřednictvím volání URL na stránce, která se používá pro výchozí instalaci na serveru a vytvoření prvního administrátora, vytvořit vlastní uživatelský účet s administrátorským oprávněním.“

CAS je zkratka pro Coin ATM Server a každý provozovatel kryptoměnových bankomatů od General Bytes jeden takový potřebuje. Zdá se, že svůj CAS můžete hostovat kdekoli, včetně vlastního hardwaru ve vlastní serverovně, ale společnost General Bytes uzavřela speciální dohodu s hostingovou společností Digital Ocean na levné cloudové řešení, přičemž si můžete nechat provozovat server v cloudu u General Bytes, výměnou za 0,5% podíl ze všech peněžních transakcí.

Podle zprávy o incidentu útočníci provedli skenování portů cloudových služeb Digital Ocean a hledali naslouchající webové služby (na portech 7777 nebo 443), které se identifikovaly jako servery CAS General Bytes, aby našli seznam potenciálních obětí.

Všimněte si, že zde zneužitá zranitelnost se netýkala pouze společnosti Digital Ocean a ani nebyla omezena na cloudové instance CAS. Odhadujeme, že útočníci se prostě rozhodli, že Digital Ocean je dobrým místem, kde začít hledat. Pamatujme na to, že s velmi rychlým internetovým připojením (např. 10 Gb/s) a s použitím volně dostupného softwaru mohou dnes odhodlaní útočníci prohledat celý internetový adresní prostor IPv4 během několika hodin nebo dokonce minut. Takto fungují veřejné vyhledávače zranitelností, jako jsou Shodan a Censys, které nepřetržitě procházejí internet a zjišťují, které servery, v jakých verzích a na kterých online místech jsou právě aktivní.

Podle všeho zranitelnost v samotném CAS umožnila útočníkům manipulovat s nastavením kryptoměnových služeb oběti, včetně:
• přidání nového uživatele s oprávněními správce,
• použití tohoto nového administrátorského účtu k přenastavení stávajících bankomatů,
• přesměrování všech neplatných plateb do vlastní peněženky.

Z toho vyplývá, že provedené útoky byly omezeny na převody nebo výběry, při kterých zákazník udělal chybu. Zdá se, že v takových případech místo toho, aby provozovatel bankomatu chybně převáděné prostředky vybral – aby je následně mohl vrátit nebo správně přesměrovat – putovaly tyto přímo a nevratně k útočníkům.

Společnost General Bytes neuvedla, jak se o této chybě dozvěděla, i když si dokážeme představit, že každý provozovatel bankomatu, který by čelil telefonátu na zákaznickou podporu ohledně neúspěšné transakce, by si rychle všiml, že bylo pozměněno nastavení jeho služby, a spustil by poplach.

Indikátory kompromitace
Zdá se, že útočníci po sobě zanechali různé poznávací znaky své činnosti, takže společnost General Bytes byla schopna identifikovat řadu takzvaných indikátorů kompromitace (Indicators of Compromise, IoC), které mají uživatelům pomoci odhalit hacknuté konfigurace CAS. Nesmíme přitom však zapomenout na to, že nepřítomnost IoC nezaručuje i nepřítomnost útočníků, ale známé IoC jsou užitečným výchozím bodem při odhalování hrozeb a reakci na ně.

Naštěstí, možná i díky tomu, že tento exploit spoléhal na neplatné platby a neumožnil útočníkům přímo vyčerpat bankomaty, celkové finanční ztráty v tomto případě nedosahují mnohamilionových dolarových částek často spojovaných s kryptoměnovými přehmaty.

Společnost General Bytes 22. srpna 2022 uvedla, že „incident byl nahlášen Policii ČR. Celková škoda způsobená provozovatelům bankomatů na základě jejich zpětné vazby činí 16 000 dolarů“. Společnost také automaticky deaktivovala všechny bankomaty, které spravovala jménem svých zákazníků, a tak se tito zákazníci museli před opětovnou aktivací svých bankomatů přihlásit a zkontrolovat vlastní nastavení.

Co se dá dělat?
Společnost General Bytes sestavila jedenáctikrokový postup, který musí její zákazníci dodržet, aby tento problém odstranili, včetně následujících kroků:
• Záplatování serveru CAS
• Přezkoumání nastavení firewallu s cílem omezit přístup na co nejmenší počet uživatelů sítě
• Deaktivace ATM terminálů, aby bylo možné server znovu uvést do provozu za účelem kontroly
• Kontroly všech nastavení, včetně všech falešných terminálů, které mohly být přidány
• Opětovné aktivace terminálů teprve po dokončení všech kroků vyhledávání hrozeb

Tento útok mimochodem důrazně připomíná, proč současná reakce na hrozby nespočívá pouze v záplatování bezpečnostních mezer a odstraňování malwaru. V tomto případě zločinci neimplantovali žádný malware, ale útok byl zorganizován jednoduše prostřednictvím škodlivých změn konfigurace, přičemž základní operační systém a serverový software zůstaly nedotčeny.

Paul Ducklin, Senior Security Avisor ve společnosti Sophos

Rubriky: Security

Související příspěvky

Články

Prodej bezpečnostního softwaru a služeb stále slušně roste

28. 3. 2023
Zprávičky

Intenzita jednotlivých DDoS útoků na české firmy v únoru rostla, nejvíce útoků míří z Ruska

27. 3. 2023
Sophos představil XDR řešení pro synchronizované zabezpečení
Zprávičky

Acronis vylepšuje své bezpečnostní řešení o technologii Intel TDT

27. 3. 2023
Zprávičky

Web pražské integrované dopravy napadli neznámí útočníci útokem DDoS

24. 3. 2023

Zprávičky

Padla další rekordní pokuta za porušení GDPR

Digitalizace veřejné správy pod jednou střechou, DIA zahajuje svou činnost

Pavel Houser
30. 3. 2023

Od 1. dubna 2023 začíná fungovat Digitální a informační agentura (DIA), která bude mít

Vodafone v Německu zruší přes 6 % pracovních míst

ČTK
30. 3. 2023

Telekomunikační společnost Vodafone se v Německu chystá zrušit přes šest procent pracovních míst, a

Musk a další chtějí kvůli vážným rizikům pauzu ve vývoji umělé inteligence

ČTK
29. 3. 2023

Stovky akademiků, expertů a podnikatelů zapojených do vývoje umělé inteligence (AI) včetně miliardáře Elona

Pětice motorů technologických inovací v příští dekádě

Goldman Sachs: Umělá inteligence by mohla nahradit 300 milionů pracovních míst

ČTK
29. 3. 2023

Umělá inteligence by mohla ve světě nahradit člověka na 300 milionech pracovních míst. Vyplývá

Kryptoměny a jejich ekonomika

Americké úřady žalují kryptoměnovou burzu Binance za porušení předpisů

ČTK
28. 3. 2023

Americká Komise pro obchodování s termínovými kontrakty na komodity (CFTC) žaluje největší kryptoměnovou burzu

EK opět odmítla návrh ČTÚ na regulaci velkoobchodního trhu s mobilními daty

ČTK
27. 3. 2023

Evropská komise opět odmítla návrh Českého telekomunikačního úřadu (ČTÚ) na regulaci velkoobchodního trhu s

Intenzita jednotlivých DDoS útoků na české firmy v únoru rostla, nejvíce útoků míří z Ruska

Pavel Houser
27. 3. 2023

Počet DDoS útoků na české firmy v únoru klesl, zvýšila se ale intenzita jednotlivých útoků.

Sophos představil XDR řešení pro synchronizované zabezpečení

Acronis vylepšuje své bezpečnostní řešení o technologii Intel TDT

Pavel Houser
27. 3. 2023

Řada aktuálních hrozeb využívá pouze přístup do paměti. Acronis oznámil vylepšení své bezpečnostní ochrany

Tiskové zprávy

Česko-americký startup MANTA otevírá novou pobočku v Londýně

CETIN: průměrná rychlost dostupného připojení v síti se dostala na 202 Mb/s

Nová modulární roll-to-roll tiskárna Canon Colorado řady M

Česká platforma TENT.com umožňuje platby kryptem kdekoliv

T-Mobile chce chránit zákazníky před podvodnými telefonáty

Premiér Fiala se připojil k otevřenému dopisu předsedů vlád šéfům technologických gigantů

Zpráva dne

Březnový prodej – doživotní licence na Windows 10 za Goodoffer24 € 12 a Office za € 23!

Březnový prodej – doživotní licence na Windows 10 za Goodoffer24 € 12 a Office za € 23!

Redakce
3. 3. 2023

Ať už hledáte levnější cestu jak postavit nový počítač, nebo jen chcete upgradovat stárnoucí...

Odebírat newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Komentujeme

Chvála černých skřínek

Programování s pomocí umělé inteligence a open source licence

Pavel Houser
15. 3. 2023

S tím, jak se rozšiřuje využití umělé inteligence přímo při tvorbě softwaru, se intenzivněji začínají diskutovat...

Nadcházející akce

  1. Hannover Messe 2023

    17. dubna - 21. dubna

Zobrazit všechny Akce

Slovník

3D

Hyperlink

iDEN ™

Nejpopulárnější články

OKI na veletrhu EmbaxPrint zaujala potiskem etiket

OKI na veletrhu EmbaxPrint zaujala potiskem etiket

Tomáš Jirásko
1. 3. 2023

Kvalitních IT specialistů je nedostatek a práce na dálku jim může přinést až o 25 % víc peněz

Redakce
3. 3. 2023

Umělá inteligence: Nástroje vs. platforma, věda vs. kreativita

ChatGPT uspěl v testu teorie mysli

Pavel Houser
21. 2. 2023

Mýty kolem digitalizace firmy (1): Digitalizace je jen IT projekt a adopce je ztráta času

Mýty kolem digitalizace firmy (1): Digitalizace je jen IT projekt a adopce je ztráta času

itbiz
2. 3. 2023

Kouzla zbavené? Nepravděpodobné řešení hrozící personální krize ve finančních službách

10 let ABSL: Firmy využívající umělou inteligenci rostou rychleji

Redakce
2. 3. 2023

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události Byznys Cloud Ekomerce Hardware Internet Operační systémy Podnikový software Právo Rozhovory Science Security techn Technologie Telekomunikace Veřejná správa Vývoj a HTML Zpráva dne České IT česk

Píšeme jinde

RSS ScienceMag RSS

  • Astronomové zkoumají zrod kupy galaxií v mladém vesmíru
  • Čeští vědci přispěli s mini-družicí GRBAlpha k pozorování nejmohutnější exploze od počátku lidské civilizace
  • Vysokorychlostní kamera ukázala srážku blesku s protibleskem

RSS AbcLinuxu RSS

  • Výsledky hackerské soutěže Pwn2Own Vancouver 2023
  • WordPress 6.2 Dolphy
  • Blender 3.5

Newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.