Хакеры взломали биткоин-банкоматы на 1,5 миллиона долларов, используя ошибку нулевого дня

Хакеры вывели сбережения на миллионы долларов из криптовалютных банкоматов, воспользовавшись уязвимостью нулевого дня, оставив клиентов с невозместимыми убытками, сообщил производитель банкоматов для электронной валюты.


Ограблению подверглись банкоматы, продаваемые General Bytes, компанией, имеющей несколько офисов по всему миру. BATM (сокращение от биткоин-банкоматов) могут быть установлены в любых магазинах или других предприятиях, и предназначены для обмена биткоинов на другие валюты и наоборот. Клиенты подключают BATM к серверу криптографических приложений (CAS), которым они могут управлять или, до сих пор, General Bytes могли управлять за них. По не совсем понятным причинам BATM предлагают опцию, которая позволяет клиентам загружать видео с терминала в CAS, используя механизм, известный как интерфейс главного сервера.

На выходных General Bytes сообщила, что из CAS было выведено биткоинов на сумму более 1,5 миллиона долларов. Чтобы совершить ограбление, неизвестный злоумышленник воспользовался ранее неизвестной уязвимостью, которая позволила ему использовать вышеописанный интерфейс для загрузки и выполнения вредоносного Java-приложения. Затем хакер опустошил множество горячих кошельков на общую сумму примерно в 56 BTC. General Bytes исправила уязвимость через 15 часов после того, как узнала о ней, но из-за принципов работы криптовалюты, потери оказались невосполнимыми.


— General Bytes.

В сообщении General Bytes утверждается, что ход атаки был следующим:

1. Злоумышленник обнаружил уязвимость в системе безопасности в основном сервисном интерфейсе, который BATM используют для загрузки видео в CAS.
   
2. Злоумышленник просканировал пространство IP-адресов, управляемое облачным хостом DigitalOcean Ocean, чтобы идентифицировать запущенные службы CAS на портах 7741, включая службу General Bytes Cloud и других операторов BATM, использующих свои серверы в Digital Ocean.
   
3. Воспользовавшись уязвимостью, злоумышленник загрузил Java-приложение непосредственно на сервер приложений, используемый административным интерфейсом. Сервер приложений по умолчанию настроен на запуск приложений в своей папке развертывания.
   

После запуска вредоносного приложения на сервере злоумышленник смог получить доступ к базе данных, прочитать и расшифровать зашифрованные ключи API, необходимые для доступа к средствам в горячих кошельках и на биржах, перевести средства из горячих кошельков в кошелек, контролируемый злоумышленником, загрузить хэши имен пользователей и пароли.

Инцидент в очередной раз подчеркивает риск хранения криптовалют в кошельках, доступных в Интернете, обычно называемых горячими кошельками. На протяжении многих лет злоумышленники, используя различные уязвимости в криптовалютных инфраструктурах, либо обманным путем заставляя владельцев кошельков предоставлять ключи шифрования, необходимые для снятия средств из горячих кошельков похитили неисчислимое количество цифровой валюты.

Специалисты по безопасности уже на протяжении долгого времени советуют хранить средства в холодных кошельках, что означает, что они не доступны напрямую из Интернета. К сожалению, BATM и другие типы криптовалютных банкоматов, как правило, не могут следовать данной рекомендации, поскольку терминалы должны быть подключены к горячим кошелькам, чтобы иметь возможность совершать транзакции в режиме реального времени. Это означает, что BATM, вероятно, и в дальнейшем останутся главной целью для хакеров.