Hackers logran robar cripto de cajeros bitcoin de la marca General Bytes

[DdmrDdmr]

General Bytes es la marca de los cajeros de Bitbase y Weex entre otros ...

Según se ha reportado, hackers han logrado robar cripto a clientes de los cajeros de la marca General Bytes (GB) a través de la explotación de una vulnerabilidad de tipo dia-cero.

Según un comunicado de seguridad de GB (presumible interno para sus clientes) del día 18:

"The attacker was able to create an admin user remotely via CAS administrative interface via a URL call on the page that is used for the default installation on the server and creating the first administration user," reads the General Bytes advisory.

Esto se traduce en que los hackers pudieron llegar a crear una cuenta admin, y modificar los parámetros asociados a la configuración de compras y ventas del servidor del negocio, para poner direcciones controladas por parte de los hackers.

Se pide que los cajeros de la marca apliquen los parches 20220531.38 y 20220725.22, sobre sus servidores, y que no operen los ATMs hasta completar dicho proceso.

A su vez, se pide revisar la lista de IPs autorizadas para acceder al CAS (Crypto Application Server), y delimitarlos en el firewall a aquellos de confianza.

Una nota al final del artículo indica que se supone que hay 18 CAS todavía vulnerables, esencialmente en Canadá, pero el enlace al Tweet fuente no va a ningún lado, y tampoco me fio que el dato no sea local al país de entrada.

Nota: No estoy diciendo que las marcas con cajeros GB en España hayan sido afectadas, pero quizás si es algo a confirmar con su soporte antes de su uso por si alguien los utiliza.


Ver:
https://www.bleepingcomputer.com/news/security/hackers-steal-crypto-from-bitcoin-atms-by-exploiting-zero-day-bug/
https://generalbytes.atlassian.net/wiki/spaces/ESD/pages/2785509377/Security+Incident+August+18th+2022

[Hispo]

Interesante la noticia, pense que se mencionaría la cantidad de dinero que lograron sustraer y específicamente si fue en Bitcoin u otras monedas alternativas.

El hecho de que lograsen realizar esto de forma remota aprovechando un exploit de cajeros de Bitcoin es especialmente notable, creo que la mayoría de los delincuentes informáticos se inclinarían por las tipicas campañas de implantación de software maligno o incluso phishing masivo. Encontrar fallas de esta forma es algo diferente.

Creo que en lugar de robar de esta forma pudieron contactar a la compañia para intercambiar la información del exploit por una suma de dinero, quien sabe, quizá les hubiese salido mejor.

[DdmrDdmr]

Lo inquietante es que parece ser una situación en marcha, y que por ende mantiene el riesgo de seguir sucediendo en los entornos de los servidores (CAS) que dan servicio a los ATMs de las diversas compañías que los explotan.

De hecho, sin que tengamos datos concretos del número de casos impactados, monedas y e importes robados, el potencial es notorio, siendo GB la segunda marca mundial de bitcoin ATMs, con 8.829 unidades a nivel mundial según CoinATMRadar (dos más que ayer).

La nota en su blog es suficientemente alarmante:

DO NOT continue to operate your GB ATM server unless you have implemented the solution described below!

Siendo ahora además periodo de vacaciones, a más de algún administrador de sistemas le va a pillar fuera de su entorno laboral. Quiero suponer, pero cada cual que corrobore si acaso, que los cajeros de la marca se pueden usar si no están apagados como manera preventiva.

Veremos si hoy actualizan información al respecto en el citado blog.

Edit:

22.8.2022 15:00 - Incident was reported to Czech Police. Total damage caused to ATM operators based on their feedback is 16 000 USD.

 

[DdmrDdmr]

Veo que en el log del incidente de General Bytes hay una actualización, según la cual, un operador reportó haber perdido fondos de su BUY wallet, probablemente después de haber aplicado los parches. Según sospecha GB, el operador habría dejado habilitado el Terminal mediante el cual los hackers lograron hacer el cambio.

Es decir, el parche es para evitar que entrasen los hackers por la vía que lo hicieron, pero si ya estaban dentro, habría que haberlo detectado y haber eliminado el acceso al entorno mediante la terminal que los hackers crearon a tales efectos (lógicamente).

Han reestructurado las instrucciones actuales respecto de iteraciones anteriores para dejar este aspecto más claro.
 

[LUCKMCFLY]

Sigo pensando que el ser humano no vuela porque no tiene alas, y la inteligencia aplicada para lo malo es algo que nunca dejará de existir, si son capaces de hackear este tipo de sistemas, que supuestamente es mucho más seguros que un banco tradicional de FIAT, esto deja muy mal parados a todos los entusiastas y gente que queremos qeu esto se expanda, el ciudadano común verá es este tipo de acontecimientos y no verá la ventaja aparente que ofrece, realmente estas cosas son para tomar nota y primero, recoocer que este tipo de hacker debe tener algún tipo de contacto dentro de los fabricantes de estos cajeros , debe haber complicidad, meterse y hacerse admin del sistema es romper mucho código, y a menos que seas un genio, tiene que tener mucha experiencia, simplemente me sorprende este tipo de cosas y como el ser humano no canaliza bien este tipo de habilidades, y por cierto, bien mal por los encargados de la marca.

[DdmrDdmr]

<…>

Yo asumiría al revés: que un banco tradicional fiat es mucho más seguro en su globalidad, que un negocio de nueva generación que destina muchos menos recursos a la seguridad por comparativa del peso de una y otra corporación. Otra cosa es el tema del phishing  de cuentas, que es capítulo aparte.

En el caso de General Bytes, la explicación de los acontecimientos que dan en su blog versa:

The attacker was able to create an admin user remotely via CAS administrative interface via a URL call on the page that is used for the default installation on the server and creating the first administration user. This vulnerability has been present in CAS software since version 20201208.<…>

1.   The attacker identified a security vulnerability in the CAS admin interface.
2.   The attacker scanned the Digital Ocean cloud hosting IP address space and identified running CAS services on ports 7777 or 443, including the General Bytes Cloud service and other GB ATM operators running their servers on Digital Ocean (our recommended cloud hosting provider).
3.   Using this security vulnerability, the attacker created a new default admin user, organization, and terminal.
4.   The attacker accessed the CAS interface and renamed the default admin user to 'gb'.
5.   The attacker modified the crypto settings of a number of two-way machines and inserted his own wallet addresses into the 'Invalid Payment Address' setting.
6.   Two-way BATMs started to forward coins to the attacker's wallet when customers sent invalid payments to BATMs.

Mirando su Changelog para la citada versión 202012108, tenemos que:

Version 20201208:
 Improvements:
    Server: Added FastTrack configuration for fresh installations.
    Server: Added ability to force users of an organization to use 2FA. *
    Server/Terminal: Colors of terminal UI can be set from server using Skins. *
 Bug Fixes:
    Server: Fixed layout of VIP limits in admin.
    Server: Transaction scoring result wasn't saved to database for BUY transactions.
    Terminal: Marketing Opt-in didn't work with fingerprint.
    Terminal: Reworked terminal's exchange rate cache used for displaying rate on screen (not used for calculation)
    Terminal: Fixed layout on Privacy notice screen in experimental UI.
 

La vulnerabilidad, de alguna manera, se introdujo mediante uno de los cambios anteriores.

[DdmrDdmr]

Se ha producido otro ataque sobre la red de cajeros de bitcoin de General Bytes. En esta ocasión, los hackers han logrado hacerse con 1,5M $ en criptomonedas. Para ello, han logrado subir su propia aplicación java a través de una interficie que permite subir videos a los cajeros, y ejecutarlo usado los privilegios del cajero.

El malware subido ha logrado mover fondos de los hot wallets de determinadas instalaciones, así como escanear los logs de operaciones en búsqueda de claves privadas de clientes (entiendo que podría haber algunos usos del cajero que lo precisan). Ver el detalle completo en el segundo enlace.

El incidente ha afectado tanto al servicio Cloud de General Bytes, como a determinados puestos que corren bajo su propio servidor. Lo fuerte es que, además, GB parece haber cerrado su servicio Cloud, y está pidiendo a sus clientes que migren a servidores propios. No se indica si el cierre de su servicio Cloud es temporal o definitivo.

Ver:
https://www.cryptopolitan.com/general-bytes-atm-suffers-a-massive-hack/
https://generalbytes.atlassian.net/wiki/spaces/ESD/pages/2885222430/Security+Incident+March+17-18th+2023
https://www.criptonoticias.com/seguridad-bitcoin/robaron-mas-de-50-bitcoins-cajeros-automaticos/

[seoincorporation]

a través de una interficie que permite subir videos a los cajeros...

Que locura colega, por que un cajero de cryptos permitiría subir videos, simplemente no tiene sentido.

Creo que el tema de seguridad de estos cajeros está por los suelos, no entiendo por que no contratan expertos en seguridad informática desde un principio. Hay prácticas que hubieran evitado estos robos así como.

1.-Evitar la creación de nuevos usuarios.
2.-Evitar conexiones de IP's que no estén en la lista de confianza.
3.-Evitar subir cualquier clase de archivo al cajero.

Digo, no es tan difícil establecer reglas básicas que garanticen la seguridad.

[DdmrDdmr]

What happened
1.   The attacker identified a security vulnerability in the master service interface used by Bitcoin ATMs to upload videos to server.
2.   The attacker scanned the Digital Ocean cloud hosting IP address space and identified running CAS services on ports 7741, including the General Bytes Cloud service and other GB ATM operators running their servers on Digital Ocean (our recommended cloud hosting provider).
3.   Using this security vulnerability, attacker uploaded his own application directly to application server used by admin interface. Application server was by default configured to start applications in its deployment folder.
Note: We’ve concluded multiple security audits since 2021, and none of them identified this vulnerability.
We will continuously update this page as information arises.

Sí, lo del video no me queda demasiado claro, pero entiendo que debe interpretarse en conjunción con el texto arriba citado, extraído de su wiki sobre el incidente. Aunque hablan de que los casos de uso conocidos han sucedido sobre aquellas redes de cajero que bien usaban el servicio Cloud de GB, bien se hospedaban en el mismo proveedor de servidores (Digital Ocean), luego el texto viene a sugerir pasos a seguir para todo el mundo, no únicamente los que de manera directa o derivada operaban contra Digital Ocean.

Si alguien va a usar cajeros de la marca General Bytes (hay multitud de proveedores y cadenas que los usan), lo mejor sería asegurarse previamente con su soporte que no se han vistos impactados por la incidencia, y que consideran sus cajeros "seguros".

[darxiaomi]

Creo que lo del video leido rapido parece una locura como marca seoin, pero si lo pensamos en realidad esta bien, seguramente sean los videos que graba el cajero para los KYC y por seguridad, y los sube automaticamente a X servidor.

De ahi que alguien se avivo y le encontro ahi la vulnerabilidad.

[DdmrDdmr]

<…>

Probablemente sea como indicas, con algún puerto (7741) a la escucha de la subida de videos procedentes de los periféricos de los cajeros. Por lo menos es lo único que tiene sentido operativo.

Otra cosa es el detalle de cómo lograron explotar dicha vulnerabilidad (que lo desconocemos), al punto de aprovecharlo para ejecutar código, y no como un mero canal de recepción de videos a traspasar a un repositorio.

[darxiaomi]

<…>

Probablemente sea como indicas, con algún puerto (7741) a la escucha de la subida de videos procedentes de los periféricos de los cajeros. Por lo menos es lo único que tiene sentido operativo.

Otra cosa es el detalle de cómo lograron explotar dicha vulnerabilidad (que lo desconocemos), al punto de aprovecharlo para ejecutar código, y no como un mero canal de recepción de videos a traspasar a un repositorio.

Eso es lo que no termino de entender del todo, imagino que son gente mucho mas preparada de lo que pensamos y por lo tanto, habran hecho un calculo de cuanto podian obtener y de ahi decidieron tal vez, comprar un cajero de estos, al comprarlo pudieron desarmarlo y ver/probar todas sus vulnerabilidades, una vez hecho esto o pusieron su propio cajero a operar y robar, o fueron tambien toqueteando otros, lo cual nos e como lo harian.

[DdmrDdmr]

Sólo a modo de apunte, se ve que los hackers éticos no son un mito, sino que existen y pueden ayudar a resolver vulnerabilidades. En este caso, no se trata de una vulnerabilidad de los cajeros de GB, sino de la red de cajeros de Lamassu, donde los hackers éticos descubrieron vulnerabilidades que hubiesen permitido a un hacker hacerse con el control del cajero prácticamente con control absoluto del mismo.

Entre las posibilidades que se apuntan, la vulnerabilidad (ya parcheada) podría haber dado lugar a que un hacker controlase las imágenes, robase los bitcoins del usuario (reemplazando direcciones entiendo), vaciar el dinero del cajero, etc.

Ver:
https://es.cointelegraph.com/news/bitcoin-atm-vulnerability-ethical-hackers