getblock.net
Что произошло? Производитель биткоин-банкоматов General Bytes сообщил об инциденте наивысшего уровня опасности, который произошел 17 и 18 марта. Путем удаленной загрузки собственного java-приложения через интерфейс master service злоумышленнику удалось получить доступ к терминалам и взломать облачный сервис компании GENERAL BYTES Cloud, а также автономные серверы других операторов.
Официальное объявление General Bytes
Как происходила атака? Злоумышленник выявил уязвимость в интерфейсе сервиса, используемого криптоматами для загрузки видео на сервер. Атакующий просканировал IP-адреса облачного хостинга Digital Ocean и выявил запущенные CAS-сервисы на портах 7741. Используя эту уязвимость, хакер загрузил свое собственное приложение непосредственно на сервер, используемый интерфейсом администратора. Сервер приложений по умолчанию был настроен на запуск приложений в папке развертывания. В результате взлома хакер получил следующие возможности:
- Доступ к базе данных;
- Чтение и расшифровка API-ключей, используемых для доступа к средствам на горячих кошельках и биржах;
- Отправка средств с горячих кошельков;
- Загрузка имен пользователей и хэшей паролей;
- Отключение двухфакторной аутентификации;
- Доступ к журналам событий терминала, включая случаи, когда клиенты сканировали закрытый ключ с помощью криптомата.
Для защиты от угроз General Bytes объявила о закрытии облачного сервиса и предупредила операторов о необходимости установки собственного автономного сервера. Кроме того, в связи с компрометацией паролей всех пользователей, а также API-ключей к биржам и горячим кошелькам, операторам необходимо аннулировать их и сгенерировать новые ключи и пароли.
В августе прошлого года General Bytes также сообщала о компрометации своих серверов. Тогда хакерам удалось изменить настройки системы таким образом, чтобы криптовалюта поступала напрямую на их кошельки. А в октябре ФБР отметило рост числа использований криптоматов мошенниками. Индивидуальные потери инвесторов составляли от десятков тысяч до миллионов долларов.