Il produttore di ATM Bitcoin, General Bytes, ha rivelato che attori di minacce non identificati hanno rubato criptovalute dai portafogli caldi sfruttando una vulnerabilità di sicurezza zero-day nel suo software. La compagnia ha dichiarato che l’attaccante è stato in grado di caricare la propria applicazione Java in remoto tramite l’interfaccia del servizio principale utilizzata dai terminali per caricare video ed eseguirlo utilizzando i privilegi dell’utente “batm”.
Gli hacker hanno analizzato lo spazio degli indirizzi IP del servizio di hosting cloud Digital Ocean e individuato i servizi CAS in esecuzione sulle porte 7741, inclusi il servizio cloud di General Bytes e altri operatori di ATM GB che gestiscono i loro server su Digital Ocean. L’attacco ha permesso all’attore delle minacce di accedere al database, leggere e decrittare le chiavi API utilizzate per accedere ai fondi nei portafogli caldi e negli scambi, inviare fondi dai portafogli, scaricare nomi utente, hash delle password e disattivare l’autenticazione a due fattori (2FA) e persino accedere ai registri degli eventi del terminale.
General Bytes ha avvertito che il proprio servizio cloud e i server autonomi di altri operatori sono stati violati a seguito dell’incidente, spingendo la compagnia a chiudere il servizio. Oltre a esortare i clienti a mantenere i loro server di applicazioni cripto (CAS) dietro un firewall e una VPN, raccomanda di ruotare tutte le password degli utenti e le chiavi API per gli scambi e i portafogli caldi.
La compagnia ha sottolineato di aver condotto molteplici audit di sicurezza dal 2021 e che nessuno di essi aveva evidenziato questa vulnerabilità. Sembra essere rimasta non corretta dalla versione 20210401. Non è stato divulgato l’importo esatto dei fondi rubati dagli hacker, ma un’analisi dei portafogli di criptovalute utilizzati nell’attacco rivela il ricevimento di 56,283 BTC ($1,5 milioni), 21,823 ETH ($36.500) e 1.219,183 LTC ($96.500).
L’attacco agli ATM è il secondo incidente che colpisce General Bytes in meno di un anno, con un’altra vulnerabilità zero-day nei suoi server ATM sfruttata per rubare cripto dai suoi clienti nell’agosto 2022.
