General Bytes, fabricador de caixers automàtics de Bitcoins, ha revelat que una amenaça no identificada va prendre criptomonedes de diverses carteres aprofitant un error de seguretat de Zero-Day al seu programari.

La companyia va esmentar en un avís publicat durant el cap de setmana que l’atacant fou capaç de pujar la seva pròpia aplicació Java de manera remota a través de la interfície de servei mestra utilitzada pels terminals per pujar vídeos i executar-la utilitzant privilegis d’usuari ‘batm’.

També explicaven que l’atacant va escanejar l’espai d’adreces IP d’allotjament al núvol de Digital Ocean i va poder identificar serveis CAS en execució als ports 7741, inclòs el servei al núvol de General Bytes així com altres operadors GB ATM que executen els seus servidors a Digital Ocean.

L’empresa va assenyalar que el servidor al qual es va pujar l’aplicació Java maliciosa estava configurat per defecte per iniciar aplicacions presents a la carpeta de desplegament següent: (“/batm/app/admin/standalone/deployments/”).

En fer-ho, l’atac permetia a l’actor de l’amenaça accedir a la base de dades; llegir i desxifrar claus API emprades per accedir a fons de moneders i intercanvis; enviar fons des dels moneders; descarregar noms d’usuari, hashes de contrasenyes i desactivar l’autenticació de doble factor (2FA); i fins i tot accedir als registres d’esdeveniments del terminal.

General Bytes, segons el seu lloc web, ha venut més de 15.137 terminals a 149 països. És compatible amb més de 180 monedes fiduciàries i ha realitzat col·lectivament gairebé 22,6 milions de transaccions arreu del món.

Els BATM estan dissenyats per connectar-se a un servidor d’aplicacions criptogràfiques (CAS), que són gestionades pel client o per la mateixa empresa al núvol a través de la infraestructura proporcionada per DigitalOcean.

També va advertir que el seu propi servei al núvol, així com els servidors independents d’altres operadors, van ser infiltrats com a resultat de l’incident, la qual cosa va portar a l’empresa a tancar el servei.

A més d’instar als clients a mantenir els seus servidors d’aplicacions criptogràfiques (CAS) darrere d’un tallafoc i una VPN, també recomana canviar totes les contrasenyes dels usuaris i les claus API de les bosses i moneders.

La solució de seguretat CAS es proporciona en dues versions d’actualitzacions del servidor, 20221118.48 i 20230120.44.

La companyia va subratllar a més que havia realitzat múltiples auditories de seguretat des del 2021 i que en cap d’elles s’havia detectat aquesta vulnerabilitat. Pel que sembla, porta sense posar remeis a errors des de la versió 20210401.

General Bytes no va revelar la quantitat exacta de fons robats pels hackers, però una anàlisi de les carteres de criptomonedes utilitzades en l’atac revela la recepció de 56,283 BTC (1,5 milions de dòlars), 21,823 ETH (36.500 dòlars) i 1.219,183 LTC (96.500 dòlars).

L’atac als caixers automàtics és el segon error de General Bytes en menys d’un any el qual va suposar que l’atacant ho aprofités per prendre criptomonedes dels clients l’agost del 2022.