Gli hacker approfittano di un bug nei bancomat Bitcoin per deviare tutti i fondi in entrata.
Il 18 agosto, il produttore di ATM Bitcoin, General Bytes, ha subito un attacco zero-day, che ha consentito agli hacker di diventare amministratori per impostazione predefinita e modificare le impostazioni ATM in modo che tutti i fondi in entrata venissero automaticamente trasferiti agli indirizzi dei loro portafogli.
Per il momento, L'importo dei fondi rubati e il numero di bancomat Bitcoin che sono stati compromessi non sono stati rivelati., ma l'azienda ha consigliato agli operatori di aggiornare urgentemente il software del bancomat, in modo da risolvere la vulnerabilità.
L'azienda, che ne conta più di 8.800 ATM Bitcoin e opera in 120 paesi, ha anche chiesto al agli utenti di astenersi dall'utilizzare gli sportelli bancomat finché non aggiornano il proprio server alle versioni 20220725.22 e 20220531.38 per i client che eseguono 20220531.
Hanno anche consigliato ai clienti di farlo modificare le impostazioni del firewall del server in modo che l'accesso all'interfaccia di gestione CAS sia possibile, tra l'altro, solo da indirizzi IP autorizzati.
Infine, l’azienda ha avvertito i clienti che dovrebbero farlo rivedi la tua "Impostazione VENDI criptovaluta" per garantire che gli hacker non abbiano apportato modifiche alle impostazioni in modo che i fondi ricevuti vengano trasferiti a loro e non ai clienti.
Anche General Bytes lo ha notato eseguire controlli di sicurezza regolari dei loro ATM Bitcoin sin dalla loro creazione nel 2020 e che non avevano riscontrato questo tipo di vulnerabilità in nessuno di essi.
Come è avvenuto l’attacco agli ATM Bitcoin?
General Bytes ha pubblicato un articolo analizzando l'attacco. In esso viene indicato che gli hacker hanno effettuato un attacco di vulnerabilità zero-day per accedere al server delle applicazioni di criptovaluta (CAS) dell'azienda e prelevare i fondi.
Il server CAS gestisce l'intero funzionamento dell'ATM, che include il esecuzione di compravendite di criptovalute sugli scambi e quali valute sono supportate.
General Bytes ritiene che gli hacker abbiano scansionato i server esposti in esecuzione su Porte TCP 7777 o 443, inclusi i server ospitati sul servizio cloud di General Bytes.
In questo modo, gli hacker si sono aggiunti come amministratore per impostazione predefinita nel CAS e ha proceduto a modificare le impostazioni di acquisto e vendita in modo tale che qualsiasi criptovaluta ricevuta dall'ATM Bitcoin venisse invece trasferita all'indirizzo del portafoglio degli hacker.
[hubspot type=cta portal=20298209 id=38fb28e1-1dc1-40e3-9098-5704ca7fcb07]
