Известный производитель криптоматов General Bytes (GB) сообщил о взломе своей облачной платформы. Хакер, установив вредоносное ПО, получил доступ к активам пользователей, похитив более $1,6 млн в криптовалютах BTC и ETH.
В информационном бюллетене, опубликованном General Bytes, отмечено, что злоумышленник нашел уязвимость и получил возможность удаленно загружать на криптоматы компании Java-приложения. С их помощью он получил доступ к информации пользователей и другим данным, а также похитил криптоактивы с горячих кошельков. Компания остановила работу своего облачного сервиса, но криптоматы, подключенные к сторонним серверам, остаются уязвимыми к таким действиям.
Хакеры могут получить доступ к базе данных. Могут читать и дешифровать API-ключи, которые используются для доступа к активам на горячих кошельках и биржах, а также выводить из них активы. Они могут получить доступ к конфиденциальной информации пользователей, загрузить хэши их паролей и отключать двухфакторную аутентификацию (2FA), ― сообщил основатель General Bytes Карел Киовский (Karel Kyovsky).
Детали атаки на General Bytes
Для взлома системы злоумышленник воспользовался «уязвимостью нулевого дня» (получившей в компании название BATM-4780), получив доступ к сети через платформу управления криптоматами BATM.
В бюллетене отмечено, что хакер просканировал IP-адреса облачного хостинга Digital Ocean (услугами которого пользуется General Bytes) и обнаружил запущенные службы CAS (Crypto Application Server) на портах 7741, включая службу General Bytes Cloud и других операторов — агентов GB.
Хакер удаленно загрузил Java-приложение, воспользовавшись интерфейсом загрузки видеофайлов, и запустил ее с привилегиями пользователя «batm», после чего получил доступ к серверу CAS. По умолчанию сервер CAS настроен на автоматический запуск приложений из определенного «дефолтного» каталога.
Реакция компании
Как только атака была обнаружена, представители General Bytes через Twitter обратились к партнерам и агентам, использующим криптоматы GB, с призывом «немедленно принять меры» и установить последние обновления, которые были оперативно созданы, чтобы защитить серверы и средства от посягательств злоумышленников.
После загрузки Java-программы хакеры получили возможность выполнять такие действия на скомпрометированных устройствах:
- доступ к базе данных;
- чтение и дешифровка API-ключей, которые используются для доступа к средствам на горячих кошельках и биржах;
- отправка средств с горячих кошельков;
- доступ к именам пользователей, хэшам их паролей с возможностью отключения 2FA;
- доступ к журналам событий терминала (log-файлам) и поиску любых случаев, когда клиенты использовали приватные ключи на устройствах — старые версии программного обеспечения криптоматов фиксировали и хранили эту информацию.
Хотя компания раскрыла данные о том, сколько средств украл злоумышленник, она также предоставила список адресов криптовалютных кошельков, которые использовал хакер во время атаки. Установлено, что он начал выводить криптовалюту с серверов биткоин-банкоматов еще 17 марта, причем на кошельки злоумышленника было переведено более 56 BTC на сумму около $1,589,000 млн и свыше 21 ETH — на сумму почти $39,000 тыс. по текущему курсу.
Несмотря на то, что кошельки хакера все еще содержат украденную криптовалюту, он в любой момент может осуществить ее обмен на другие активы через любую DEX, например Uniswap или криптомиксер.
Закрытие облачного сервиса
Представители General Bytes сообщили о решении компании относительно закрытия своего облачного сервиса, отметив, что теоретически (да и практически) невозможно защитить его от атак злоумышленников, когда он должен одновременно предоставлять доступ нескольким разным операторам.
Все клиенты переводятся на собственные автономные CAS-серверы вместо одного централизованного решения.
Компания будет оказывать поддержку миграции данных тем партнерам и агентам, которые решили установить собственный автономный CAS. Теперь в целях безопасности он должен быть размещен за брандмауэром и VPN.
Компания General Bytes также оперативно, в течение 15 часов (!), выпустила обновление (патчи) в двух пакетах (20221118.48 и 20230120.44), устраняющих обнаруженную уязвимость в безопасности CAS.
Компания собирает данные от клиентов, чтобы подтвердить и удостоверить финансовые потери, а также сотрудничает с правоохранительными органами, чтобы идентифицировать личность преступника.
По информации General Bytes, компания планирует за короткий период провести многочисленные проверки безопасности своих продуктов и сервисов, чтобы обнаружить и исправить другие потенциальные недостатки до того, как их найдут злоумышленники.
Что ж, очень резонный и своевременный ход!
О компании
General Bytes — это ведущий мировой производитель криптоматов с главным офисом в Праге (Чехия) и представительствами в США, Великобритании, Эстонии и Панаме. В собственности компании с 2013 года находится свыше 13 700 криптоматов в 143 странах, воспользовавшись которыми можно приобрести более 40 различных криптоактивов за наличные или с использованием платежных карт.