კრიპტომატების ცნობილმა მწარმოებელმა General Bytes (GB) თავის ღრუბლოვან პლატფორმაზე ჰაკერული თავდასხმის შესახებ განაცხადა. ჰაკერმა, რომელმაც დააყენა მავნე პროგრამა, მოიპოვა წვდომა მომხმარებლების აქტივებზე და მოიპარა $1,6 მილიონზე მეტი BTC და ETH კრიპტოვალუტებში.
General Bytes-ის მიერ გამოქვეყნებულ საინფორმაციო ბიულეტენში აღნიშნულია, რომ ბოროტმოქმედმა მოწყვლადობა აღმოაჩინა და კომპანიის კრიპტომატებზე Java აპლიკაციების დისტანციურად ატვირთვა შეძლო. მათი მეშვეობით, მან მოიპოვა წვდომა მომხმარებლის ინფორმაციასა და სხვა მონაცემებზე, ასევე მოიპარა კრიპტოაქტივები ცხელი საფულეებიდან. კომპანიამ შეაჩერა ღრუბლოვანი სერვისის მუშაობა, მაგრამ გარე სერვერებთან დაკავშირებული კრიპტომატები ასეთი ქმედებების მიმართ კვლავ მოწყვლადია.
ჰაკერებს შეუძლიათ, მიიღონ წვდომა მონაცემთა ბაზაზე. მათ შეუძლიათ, წაიკითხონ და გაშიფრონ API გასაღებები, რომლებიც ცხელ საფულეებსა და ბირჟებზე გამოიყენება აქტივებზე წვდომისთვის, ასევე იქიდან აქტივების გასატანად. მათ შეუძლიათ, მიიღონ წვდომა მომხმარებლების კონფიდენციალურ ინფორმაციაზე, ჩამოტვირთონ მათი პაროლის ჰეშები და გამორთონ ორფაქტორიანი ავთენტიფიკაცია (2FA), - განაცხადა General Bytes-ის დამფუძნებელმა კარელ კიოვსკიმ.
General Bytes-ზე მომხდარი თავდასხმის დეტალები
სისტემაში შეღწევის მიზნით, ბოროტმოქმედმა ისარგებლა „ნულოვანი დღის მოწყვლადობით“ (რომელსაც კომპანიაში BATM-4780 უწოდეს) და კრიპტომატების მართვის პლატფორმა BATM-ის მეშვეობით მოიპოვა წვდომა ქსელზე.
ბიულეტენში აღნიშნულია რომ ჰაკერმა დაასკანერა ღრუბლოვანი ჰოსტინგ Digital Ocean-ის IP მისამართები (რომლის სერვისითაც General Bytes-ი სარგებლობს) და აღმოაჩინა პორტებზე 7741 ამოქმედებული CAS-ის (Crypto Application Server) სერვისები, რომელთა შორის იყო General Bytes Cloud-ისა და სხვა ოპერატორების - GB აგენტის სერვისები.
ვიდეოფაილების ჩამოტვირთვის ინტერფეისის გამოყენებით, ჰაკერმა დისტანციურად ჩამოტვირთა Java აპლიკაცია და აამოქმედა ის "batm”-ი მომხმარებლის პრივილეგიებით, რის შემდეგაც მიიღო წვდომა CAS-ის სერვერზე. CAS-ის აპლიკაციების სერვერი ნაგულისხმევად კონფიგურირებულია იმგვარად, რომ ავტომატურად აამოქმედოს პროგრამები კონკრეტული "დეფოლტური" კატალოგიდან.
კომპანიის რეაქცია
თავდასხმის აღმოჩენისთანავე, General Bytes-ის წარმომადგენლებმა Twitter-ის საშუალებით მოუწოდეს პარტნიორებსა და აგენტებს, რომლებიც GB-ის კრიპტომატებს იყენებენ, “მიეღოთ სასწრაფო ზომები“ და დაეყენებინათ უახლესი განახლებები, რომლებიც ოპერატიულად შეიქმნა სერვერებისა და სახსრების თავდამსხმელებისგან დასაცავად.
Java პროგრამის ჩამოტვირთვის შემდეგ, ჰაკერებმა კომპრომეტირებულ მოწყობილობებზე შეძლეს შემდეგი მოქმედებების შესრულება:
- მონაცემთა ბაზაზე წვდომის მიღება;
- ცხელ საფულეებსა და ბირჟებზე არსებულ სახსრებზე წვდომისთვის საჭირო API გასაღებების წაკითხვა და გაშიფვრა;
- თანხების გაგზავნა ცხელი საფულეებიდან;
- მომხმარებლის სახელებზე, მათი პაროლების ჰეშებზე წვდომის მიღება, 2FA-ის გამორთვის შესაძლებლობით;
- წვდომის მიღება ტერმინალის მოვლენების ჟურნალებზე (log-ფაილები) და ნებისმიერი ისეთი შემთხვევის ძიებაზე, როდესაც კლიენტები მოწყობილობებზე პირად გასაღებებს იყენებდნენ - კრიპტომატების პროგრამული უზრუნველყოფის ძველი ვერსიები ამ ინფორმაციას იწერდნენ და ინახავდნენ.
კომპანიამ გაამჟღავნა მონაცემები იმის შესახებ, თუ რა თანხა მოიპარა თავდამსხმელმა და ასევე წარმოადგინა კრიპტოვალუტის საფულის მისამართების სია, რომლებიც ჰაკერმა თავდასხმის დროს გამოიყენა. დადგინდა, რომ მან ბიტკოინ ბანკომატების სერვერებიდან კრიპტოვალუტის გამოტანა ჯერ კიდევ 17 მარტს დაიწყო. ამასთან, თავდამსხმელის საფულეში გადაირიცხა 56-ზე მეტი BTC, რისი ღირებულებაც დაახლოებით $1,589,000 მილიონია და 21 ETH-ზე მეტი, რისი ღირებულებაც მიმდინარე კურსით თითქმის $39,000-ს შეადგენს.
მიუხედავად იმისა, რომ ჰაკერების საფულეები კვლავ შეიცავს მოპარულ კრიპტოვალუტას, მას შეუძლია, ნებისმიერ დროს გადაცვალოს ის სხვა აქტივებზე ნებისმიერი DEX-ის მეშვეობით, როგორიცაა Uniswap, ან კრიპტომიქსერი.
ღრუბლოვანი სერვისის დახურვა
General Bytes-ის წარმომადგენლების განცხადებით, კომპანიამ გადაწყვიტა, დახუროს თავისი ღრუბლოვანი სერვისი. მათ აღნიშნეს, რომ თეორიულად (და პრაქტიკულად) შეუძლებელია მისი დაცვა ბოროტმოქმედების თავდასხმებისგან, როდესაც მან ერთდროულად რამდენიმე სხვადასხვა ოპერატორისთვის წვდომა უნდა უზრუნველყოს.
ყველა კლიენტი გადადის საკუთარ ავტონომიურ CAS სერვერებზე, ერთი ცენტრალიზებული გადაწყვეტილების ნაცვლად.
კომპანია უზრუნველყოფს მონაცემთა მიგრაციის მხარდაჭერას იმ პარტნიორებსა და აგენტებისთვის, რომლებიც გადაწყვეტენ, დააყენონ საკუთარი ავტონომიური CAS, რომელიც ახლა, უსაფრთხოების მიზნით, ბრენდმაუერისა და VPN-ის უკან უნდა განთავსდეს.
კომპანიამ General Byte ასევე ოპერატიულად, 15 საათის (!) განმავლობაში, გამოუშვა განახლება (პატჩები) ორ პაკეტად (20221118.48 და 20230120.44), რომელიც CAS-ის უსაფრთხოებაში აღმოჩენილ მოწყვლადობას აღმოფხვრის.
კომპანია მომხმარებლისგან აგროვებს მონაცემებს ფინანსური ზარალის დასამტკიცებლად და დასადასტურებლად, ასევე თანამშრომლობს სამართალდამცავებთან, დამნაშავის ვინაობის დასადგენად.
General Byte-ის ინფორმაციით, კომპანია გეგმავს, მოკლე დროში განახორციელოს თავისი პროდუქტებისა და სერვისების უსაფრთხოების მრავალრიცხოვანი შემოწმება, რათა გამოავლინოს და გამოასწოროს სხვა პოტენციური ხარვეზები, სანამ მათ თავდამსხმელები იპოვიან.
ისე, ძალიან გონივრული და დროული ნაბიჯია!
კომპანიის შესახებ
General Bytes მსოფლიოში კრიპტომატების წამყვანი მწარმოებელია, რომლის სათაო ოფისი პრაღაში (ჩეხეთი) მდებარეობს. მას ოფისები აშშ-ში, დიდ ბრიტანეთში, ესტონეთსა და პანამაში აქვს. 2013 წლიდან კომპანია ფლობს 13700-ზე მეტ კრიპტომატს 143 ქვეყანაში, რომელთა მეშვეობით შესაძლებელია 40-ზე მეტი სხვადასხვა კრიპტოაქტივის ყიდვა ნაღდი ანგარიშსწორებით, ან გადახდის ბარათების გამოყენებით.