A General Bytes, fabricante de caixas eletrônicos Bitcoin, divulgou que agentes de ameaças não identificados roubaram criptomoedas de carteiras quentes, explorando uma falha de segurança de dia zero em seu software.
“O invasor foi capaz de carregar seu próprio aplicativo java remotamente através da interface de serviço mestre usada pelos terminais para carregar vídeos e executá-lo usando privilégios de usuário ‘batm'”, disse a empresa em um comunicado publicado no fim de semana.
“O invasor escaneou o espaço de endereço IP de hospedagem em nuvem da Digital Ocean e identificou serviços CAS em execução nas portas 7741, incluindo o serviço General Bytes Cloud e outros operadores de ATM GB executando seus servidores no Digital Ocean”, acrescentou ainda.
A empresa disse que o servidor para o qual o aplicativo Java malicioso foi carregado foi, por padrão, configurado para iniciar aplicativos presentes na pasta de implantação (“/batm/app/admin/standalone/deployments/”).
Ao fazer isso, o ataque permitiu que o agente da ameaça acessasse o banco de dados; ler e descriptografar chaves de API usadas para acessar fundos em carteiras e exchanges quentes; enviar fundos das carteiras; baixar nomes de usuário, hashes de senha e desativar a autenticação de dois fatores (2FA); e até mesmo acessar logs de eventos do terminal.
Também alertou que seu próprio serviço de nuvem, bem como os servidores autônomos de outras operadoras, foram infiltrados como resultado do incidente, levando a empresa a fechar o serviço.
Além de pedir aos clientes que mantenham seus servidores de aplicativos de criptografia (CASs) atrás de um firewall e uma VPN, também é recomendável alternar todas as senhas e chaves de API dos usuários para exchanges e carteiras quentes.
“A correção de segurança do CAS é fornecida em duas versões de patch de servidor, 20221118.48 e 20230120.44”, disse a General Bytes no comunicado.
A empresa enfatizou ainda que realizou várias auditorias de segurança desde 2021 e que nenhuma delas sinalizou essa vulnerabilidade. Parece ter sido descorrigido desde a versão 20210401.
A General Bytes não divulgou a quantidade exata de fundos roubados pelos hackers, mas uma análise das carteiras de criptomoedas usadas no ataque revela o recebimento de 56,283 BTC (US $ 1,5 milhão), 21,823 ETH (US $ 36.500) e 1.219,183 LTC (US $ 96.500).
O hack de ATM é a segunda violação visando a General Bytes em menos de um ano, com outra falha de dia zero em seus servidores ATM explorados para roubar criptomoedas de seus clientes em agosto de 2022.
Se você precisa de ajuda para avaliar e/ou elevar o seu nível de segurança, entre em contato com a 4Security, teremos prazer em direcionar um especialista para lhe atender.