• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky

Útočníci s falešnými administrátorskými účty vybírali peníze z bitcoinových bankomatů od českého prodejce General Bytes

itbiz
26. 8. 2022
| Články

Při návštěvě jeho webových stránek byste to nezjistili, ale General Bytes, český prodejce bitcoinových bankomatů, vyzývá své zákazníky, aby si opravili kritickou chybu v serverovém softwaru, která jim odčerpává peníze.

Společnost tvrdí, že celosvětově prodala více než 13 000 bankomatů, které se prodávají za 5 000 dolarů a více v závislosti na funkcích a designu. Ne všechny země ale přijaly bankomaty na kryptoměny vlídně – například britský regulační úřad v březnu 2022 varoval, že žádný z bankomatů, které v té době v zemi fungovaly, nebyl oficiálně registrován, a prohlásil, že bude „kontaktovat provozovatele s pokynem, aby byla tato zařízení vypnuta“. V té době jsme zkontrolovali i náš místní krypto bankomat a zjistili jsme, že zobrazuje zprávu „Terminal offline“; později pak bylo zařízení z nákupního centra, kde bylo instalováno, odstraněno. Společnost General Bytes nicméně uvádí, že obsluhuje zákazníky ve více než 140 zemích, a její globální mapa umístění bankomatů ukazuje přítomnost na všech kontinentech kromě Antarktidy.

Hlášení bezpečnostního incidentu
Podle produktové znalostní databáze General Bytes byl minulý týden odhalen „bezpečnostní incident“ s nejvyšší úrovní závažnosti. V prohlášení společnosti se uvádí, že „útočník dokázal vzdáleně, přes administrační rozhraní CAS prostřednictvím volání URL na stránce, která se používá pro výchozí instalaci na serveru a vytvoření prvního administrátora, vytvořit vlastní uživatelský účet s administrátorským oprávněním.“

CAS je zkratka pro Coin ATM Server a každý provozovatel kryptoměnových bankomatů od General Bytes jeden takový potřebuje. Zdá se, že svůj CAS můžete hostovat kdekoli, včetně vlastního hardwaru ve vlastní serverovně, ale společnost General Bytes uzavřela speciální dohodu s hostingovou společností Digital Ocean na levné cloudové řešení, přičemž si můžete nechat provozovat server v cloudu u General Bytes, výměnou za 0,5% podíl ze všech peněžních transakcí.

Podle zprávy o incidentu útočníci provedli skenování portů cloudových služeb Digital Ocean a hledali naslouchající webové služby (na portech 7777 nebo 443), které se identifikovaly jako servery CAS General Bytes, aby našli seznam potenciálních obětí.

Všimněte si, že zde zneužitá zranitelnost se netýkala pouze společnosti Digital Ocean a ani nebyla omezena na cloudové instance CAS. Odhadujeme, že útočníci se prostě rozhodli, že Digital Ocean je dobrým místem, kde začít hledat. Pamatujme na to, že s velmi rychlým internetovým připojením (např. 10 Gb/s) a s použitím volně dostupného softwaru mohou dnes odhodlaní útočníci prohledat celý internetový adresní prostor IPv4 během několika hodin nebo dokonce minut. Takto fungují veřejné vyhledávače zranitelností, jako jsou Shodan a Censys, které nepřetržitě procházejí internet a zjišťují, které servery, v jakých verzích a na kterých online místech jsou právě aktivní.

Podle všeho zranitelnost v samotném CAS umožnila útočníkům manipulovat s nastavením kryptoměnových služeb oběti, včetně:
• přidání nového uživatele s oprávněními správce,
• použití tohoto nového administrátorského účtu k přenastavení stávajících bankomatů,
• přesměrování všech neplatných plateb do vlastní peněženky.

Z toho vyplývá, že provedené útoky byly omezeny na převody nebo výběry, při kterých zákazník udělal chybu. Zdá se, že v takových případech místo toho, aby provozovatel bankomatu chybně převáděné prostředky vybral – aby je následně mohl vrátit nebo správně přesměrovat – putovaly tyto přímo a nevratně k útočníkům.

Společnost General Bytes neuvedla, jak se o této chybě dozvěděla, i když si dokážeme představit, že každý provozovatel bankomatu, který by čelil telefonátu na zákaznickou podporu ohledně neúspěšné transakce, by si rychle všiml, že bylo pozměněno nastavení jeho služby, a spustil by poplach.

Indikátory kompromitace
Zdá se, že útočníci po sobě zanechali různé poznávací znaky své činnosti, takže společnost General Bytes byla schopna identifikovat řadu takzvaných indikátorů kompromitace (Indicators of Compromise, IoC), které mají uživatelům pomoci odhalit hacknuté konfigurace CAS. Nesmíme přitom však zapomenout na to, že nepřítomnost IoC nezaručuje i nepřítomnost útočníků, ale známé IoC jsou užitečným výchozím bodem při odhalování hrozeb a reakci na ně.

Naštěstí, možná i díky tomu, že tento exploit spoléhal na neplatné platby a neumožnil útočníkům přímo vyčerpat bankomaty, celkové finanční ztráty v tomto případě nedosahují mnohamilionových dolarových částek často spojovaných s kryptoměnovými přehmaty.

Společnost General Bytes 22. srpna 2022 uvedla, že „incident byl nahlášen Policii ČR. Celková škoda způsobená provozovatelům bankomatů na základě jejich zpětné vazby činí 16 000 dolarů“. Společnost také automaticky deaktivovala všechny bankomaty, které spravovala jménem svých zákazníků, a tak se tito zákazníci museli před opětovnou aktivací svých bankomatů přihlásit a zkontrolovat vlastní nastavení.

Co se dá dělat?
Společnost General Bytes sestavila jedenáctikrokový postup, který musí její zákazníci dodržet, aby tento problém odstranili, včetně následujících kroků:
• Záplatování serveru CAS
• Přezkoumání nastavení firewallu s cílem omezit přístup na co nejmenší počet uživatelů sítě
• Deaktivace ATM terminálů, aby bylo možné server znovu uvést do provozu za účelem kontroly
• Kontroly všech nastavení, včetně všech falešných terminálů, které mohly být přidány
• Opětovné aktivace terminálů teprve po dokončení všech kroků vyhledávání hrozeb

Tento útok mimochodem důrazně připomíná, proč současná reakce na hrozby nespočívá pouze v záplatování bezpečnostních mezer a odstraňování malwaru. V tomto případě zločinci neimplantovali žádný malware, ale útok byl zorganizován jednoduše prostřednictvím škodlivých změn konfigurace, přičemž základní operační systém a serverový software zůstaly nedotčeny.

Paul Ducklin, Senior Security Avisor ve společnosti Sophos

Rubriky: Security

Související příspěvky

Sophos představil XDR řešení pro synchronizované zabezpečení
Zprávičky

Hackerská skupina zaútočila na banku íránských revolučních gard

17. 6. 2025
Eyal Heiman, Cato Networks
Články

Pro Cato je Praha klíčové centrum inovací v kybernetické bezpečnosti

16. 6. 2025
Vláda projedná novelu, která zpřesní pravomoci NÚKIB
Zprávičky

Nová pravidla pro kybernetickou bezpečnost Senát schválil

12. 6. 2025
Zprávičky

NÚKIB: Počet kybernetických incidentů v ČR byl v květnu nejnižší za poslední rok

11. 6. 2025

Zprávičky

Sophos představil XDR řešení pro synchronizované zabezpečení

Hackerská skupina zaútočila na banku íránských revolučních gard

ČTK
17. 6. 2025

Kybernetický útok dnes omezil provoz banky Sepah íránských revolučních gard. Systémy banky jsou spojené

HP Dimension s Google Beam posouvají virtuální spolupráci na vyšší úroveň

HP Dimension s Google Beam posouvají virtuální spolupráci na vyšší úroveň

Pavel Houser
17. 6. 2025

Společnost HP Inc. na veletrhu InfoComm 2025 představila HP Dimension with Google Beam (dříve

Vodafone pokryl sítí 5G část pražského metra

Policie odložila případ zakázek pražského magistrátu pro Operátora ICT

ČTK
17. 6. 2025

Policie odložila případ zakázek pražského magistrátu pro jím vlastněnou firmu Operátor ICT (OICT). ČTK

Německá policie vyřadila z provozu obří prodejnu drog na darknetu

ČTK
17. 6. 2025

Německá policie vyřadila z provozu velkou platformu na takzvaném darknetu, na které se prodávaly

Operátoři loni zvýšili investice o 3,5 miliardy na 23 miliard korun

ČTK
16. 6. 2025

Telekomunikační firmy investovaly v loňském roce celkem 23 miliard korun, což je o 3,5

AI snižuje důležitost formálního vzdělání, říká studie PwC

ČTK
15. 6. 2025

Zavádění umělé inteligence (AI) na pracoviště výrazně zvyšuje produktivitu zaměstnanců i tržby firem. V

750 zaměstnanců ČSOB se díky Atosu zvládlo rychle přesunout do domácích kanceláří

Čínská společnosti Tencent zvažuje koupi jihokorejského vývojáře Nexon

ČTK
14. 6. 2025

Čínský internetový gigant Tencent Holdings zvažuje možnost nákupu jihokorejského vývojáře her Nexon. Tencent hledá

Nvidia a Perplexity AI plánují evropské modely AI, zapojí se také Slovensko

ČTK
13. 6. 2025

Americký výrobce vyspělých polovodičů Nvidia a a start-up Perplexity AI uzavřely partnerství pro vytvoření

Tiskové zprávy

ELLIOT: Vlajková iniciativa pro vývoj otevřených multimodálních základních modelů pro robustní umělou inteligenci v reálném světě

Novinky v Acronis Cyber Protect Cloud: přímé zálohování a archivace e-mailů v Microsoft 365

Česko si drží v některých oblastech digitalizace vedoucí postavení, v těch dosud problematických se výrazně zlepšuje

O2 zavádí do své sítě samostatné 5G jádro (5G stand alone)

AI agenti místo „noreply“ v nové platformě Salesforce

AI vyžaduje kontext i ve veřejné správě

Zpráva dne

Květen je měsícem růstu, můžete růst s Windows 11 jen za €20.00!

Květen je měsícem růstu, můžete růst s Windows 11 jen za €20.00!

Redakce
15. 5. 2025

Kupte Windows 11 CDkey od Goodoffer24.com a můžete růst s tímto OS jak při...

Videa ITBiz.cz

Glenn Mallon, Dell Technologies

Elektronická recepční

FORXAI Mirror

Kamery pro průmysl a detekci požárů

Kamery pro vyhodnocení spokojenosti zákazníků

Kalendář

Zář 22
22. září @ 8:00 - 26. září @ 17:00

EMO Hannover 2025

Říj 1
Celý den

Cyber Attacks

Říj 21
Celý den

Bezpečnosť a dostupnosť dát

Zobrazit kalendář

Komentujeme

Chvála černých skřínek

Malé modely AI mají být velkým trendem

Pavel Houser
3. 1. 2025

V záplavě prognóz technologického vývoje (nejen) v roce 2025 zde prozatím trochu zapadlo jedno téma, které...

Odebírat newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Slovník

Basel II

Java

DDoS útok

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události Byznys Cloud Ekomerce Hardware int Internet Operační systémy Podnikový software Právo Science Security Technologie Telekomunikace Veřejná správa Vývoj a HTML Zpráva dne České IT

Píšeme jinde

RSS ScienceMag RSS

  • Mýval se bude šířit i na další území
  • Nová role známého genu: CDK12 je nezbytný pro zrání vajíček a plodnost
  • Pohlavní chromozomy mohou omezovat konflikt mezi pohlavími

RSS AbcLinuxu RSS

  • UN Open Source Week 2025
  • Git 2.50.0
  • Telegram má vazby na lidi z Kremlu. Přepněte na WhatsApp nebo Signal, radí odborníci

Newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.