Saccheggiati gli ATM General Bytes Bitcoin, tramite sfruttamento di vulnerabilità

Quando i clienti depositavano o acquistavano criptovalute tramite un bancomat, i fondi venivano invece prelevati dagli attori malintenzionati.

General Bytes è un produttore di bancomat Bitcoin che consentono di acquistare o vendere oltre 40 diverse criptovalute. La rete ATM crittografica è gestita da un server applicativo crittografico remoto, il CAS.

Il 18 agosto, General Bytes ha pubblicato un post in cui si riconosceva l’esistenza di zeroday (vulnerabilità nuove da coprire quanto prima) nel software CAS, che poteva essere utilizzato per creare un account amministratore falso tramite l’interfaccia amministrativa.

La vulnerabilità è presente nel software CAS dalla versione 20201208.

General Bytes ha scoperto che gli attaccanti hanno scansionato la rete globale alla ricerca di server aperti in esecuzione sulle porte TCP 7777 o 443, inclusi i server ospitati da Digital Ocean e il proprio servizio cloud.

Hanno quindi sfruttato il bug per aggiungere un utente amministratore predefinito chiamato “gb” al CAS, modificando le impostazioni e facendo sì che gli sportelli automatici trasferissero tutte le criptovalute dei clienti sui loro portafogli. Ovviamente il tutto in quelle macchine non ancora aggiornate con l’ultima patch di sicurezza.

General Bytes ha rilasciato una patch di sicurezza per l’exploit, lo strumento che un utente malintenzionato può utilizzare per accedere illegalmente alla macchina di destinazione, e ha avvertito i suoi clienti di non utilizzare i loro bancomat fino a quando l’aggiornamento non sarà attivo.

Gli esperti non possono ancora dire esattamente quanti server siano stati violati e quante le criptovalute rubate. All’inizio di questo mese, General Bytes ha rilasciato una dichiarazione sul suo sito Web a sostegno dell’Ucraina e ha offerto ai suoi clienti l’opportunità di aiutare direttamente l’Ucraina con le criptovalute. E poi qualcosa è andato storto.