Компания регулярно проводила аудиты безопасности, но злоумышленники нашли уязвимость раньше.
Ведущий производитель биткойн-банкоматов General Bytes заявил, что хакерам удалось украсть криптовалюту у компании и её клиентов, используя уязвимость нулевого дня в платформе управления BATM.
General Bytes производит биткойн-банкоматы, позволяющие людям покупать или продавать свыше 40 виртуальных криптомонет. Корпоративные клиенты компании могут развернуть свои банкоматы с помощью автономных серверов управления или облачной службы General Bytes.
На выходных компания сообщила, что хакеры воспользовались уязвимостью нулевого дня, отслеживаемой как BATM-4780, для удаленной загрузки вредоносного Java-приложения через главный сервисный интерфейс банкомата.
«Злоумышленник просканировал пространство IP-адресов облачного хостинга Digital Ocean и обнаружил работающие службы CAS на портах 7741, включая облачную службу General Bytes», — пояснили в General Bytes.
Компания выпустила экстренное заявление в Twitter, чтобы призвать клиентов «принять незамедлительные меры» и установить последние обновления для защиты своих серверов и денежных средств от киберпреступников.
Официальное заявление компании в Twitter
Как сообщается самой компанией, после загрузки вредоносного Java-приложения злоумышленники получили возможность выполнять следующие действия на скомпрометированных устройствах:
«Облачный сервис General Bytes был взломан точно так же, как и автономные серверы других операторов», — подчеркивается в заявлении компании.
General Bytes также предоставила длинный список криптовалютных адресов, использованных хакерами во время атаки. По данным компании, кибербандиты начали красть криптовалюту с серверов биткойн-банкоматов 17 марта, при этом биткойн-адрес хакеров получил 56,28570959 BTC на сумму около 1 589 000 долларов и 21,79436191 Ethereum на сумму около 39 000 долларов.
Хотя биткойн-кошелек злоумышленников всё ещё содержит украденную криптовалюту, похоже, киберпреступники использовали Uniswap для конвертации украденного Ethereum в USDT.
General Bytes рекомендовала администраторам CAS (Crypto Application Server) проверять файлы журналов на наличие любых подозрительных активностей, а пользователям — в обязательном порядке сменить пароли от своих криптокошельков.
Компания заявила, что закрывает свой облачный сервис, так как считает «теоретически и практически невозможным» защитить его от злоумышленников. В ближайшее время компания перенесёт всю инфраструктуру к другому облачному провайдеру.
General Bytes также выпустила два исправления безопасности CAS, которые устраняют использованную хакерами уязвимость. Весьма занимательно, что с 2021 года взломанная система подвергалась множественным проверкам безопасности, но ни одна из них не выявила уязвимость, благодаря которой злоумышленники «сорвали куш».
Компания заявляет, что в ближайшее время планирует провести многочисленные аудиты безопасности своих продуктов с помощью нескольких сторонних компаний, занимающихся кибербезопасностью. Так General Bytes собирается обнаружить и исправить другие потенциальные уязвимости до того, как их обнаружат и смогут использовать хакеры.
Сбалансированная диета для серого вещества