Cajeros automáticos de Bitcoin de General Bytes pirateados con día cero, robo de 1,5 millones de dólares

El fabricante líder de cajeros automáticos de Bitcoin, General Bytes, reveló que los piratas informáticos robaron criptomonedas de la empresa y sus clientes utilizando una vulnerabilidad de día cero en su plataforma de gestión BATM.

General Bytes fabrica cajeros automáticos de Bitcoin que permiten a las personas comprar o vender más de 40 criptomonedas. Los clientes pueden implementar sus cajeros automáticos utilizando servidores de administración independientes o el servicio en la nube de General Bytes.

Durante el fin de semana, la compañía reveló que los piratas informáticos explotaron una vulnerabilidad de día cero rastreada como BATM-4780 para cargar de forma remota una aplicación Java a través de la interfaz de servicio maestro de ATM y ejecutarla con privilegios de usuario ‘batm’.

“El atacante escaneó el espacio de direcciones IP de alojamiento en la nube de Digital Ocean e identificó la ejecución de servicios CAS en los puertos 7741, incluido el servicio General Bytes Cloud y otros operadores de cajeros automáticos de GB que ejecutan sus servidores en Digital Ocean (nuestro proveedor de alojamiento en la nube recomendado)”, explicó General Bytes. en la divulgación de un incidente de seguridad.

La compañía recurrió a Twitter para instar a los clientes a “tomar medidas inmediatas” e instalar las últimas actualizaciones para proteger sus servidores y fondos de los atacantes.

Después de cargar la aplicación Java, los actores de amenazas pudieron realizar las siguientes acciones en los dispositivos comprometidos:

• Posibilidad de acceder a la base de datos.

• Capacidad para leer y descifrar claves API utilizadas para acceder a fondos en carteras e intercambios activos.

• Envíe fondos desde billeteras calientes.

• Descargue los nombres de usuario, sus hashes de contraseña y desactive 2FA.

• Capacidad para acceder a los registros de eventos de la terminal y buscar cualquier instancia en la que los clientes escanearon claves privadas en el cajero automático. Las versiones anteriores del software del cajero automático registraban esta información.

General Bytes advirtió que sus clientes y su propio servicio en la nube fueron violados durante los ataques.

“Se violó el servicio GENERAL BYTES Cloud, así como los servidores independientes de otros operadores”,  destaca el comunicado .

Aunque la empresa reveló cuánto dinero robó el atacante, proporcionó una  lista de direcciones de criptomonedas  utilizadas por el pirata informático durante el ataque.

Estas direcciones muestran que el pirata informático comenzó a robar criptomonedas de los servidores de cajeros automáticos de Bitcoin el 17 de marzo, y la dirección de Bitcoin del atacante recibió  56,28570959 BTC , con un valor aproximado de $1,589,000, y  21,79436191 Ethereum , con un valor aproximado de $39,000.

Si bien la billetera de Bitcoin todavía contiene la criptomoneda robada, los actores de la amenaza parecen haber usado Uniswap para convertir el Ethereum robado en USDT.

Actualizar servidores ahora

Se insta a los administradores de CAS (Crypto Application Server) a que examinen sus archivos de registro “master.log” y “admin.log” en busca de brechas de tiempo sospechosas causadas por el atacante que eliminó entradas de registro para ocultar sus acciones en el dispositivo.

El informe de General Byte también advirtió que las aplicaciones JAVA maliciosas cargadas aparecerían en la carpeta “/batm/app/admin/standalone/deployments/” como archivos .war y .war.deployed con nombres aleatorios, como se muestra a continuación.

La compañía señala que es probable que los nombres de los archivos sean diferentes según la víctima.

Aquellos que no presenten signos de vulneración aún deben considerar todas sus contraseñas de CAS y claves de API comprometidas e inmediatamente invalidarlas y generar otras nuevas. Todas las contraseñas de usuario también deben restablecerse.

En la declaración de la compañía se incluyen instrucciones detalladas paso a paso para todos los operadores de servidores sobre cómo proteger sus terminales.

Cerrar el servicio en la nube

General Bytes dice que está cerrando su servicio en la nube, afirmando que le resulta “teóricamente (y prácticamente) imposible” protegerlo de los malos actores cuando debe proporcionar acceso simultáneamente a múltiples operadores.

La empresa brindará asistencia con la migración de datos a aquellos que deseen instalar su propio CAS independiente, que ahora debe colocarse detrás de un firewall y una VPN.

General Byte también ha publicado una corrección de seguridad de CAS que aborda la vulnerabilidad explotada, proporcionada en dos parches, 20221118.48 y 20230120.44.

También destaca que el sistema violado se sometió a múltiples auditorías de seguridad desde 2021, pero ninguna identificó la vulnerabilidad explotada.

Además, los investigadores del intercambio de criptomonedas Kraken  encontraron múltiples vulnerabilidades  en los cajeros automáticos de General Bytes en 2021, que la compañía solucionó rápidamente.

Sin embargo, incluso con estas auditorías de seguridad, en agosto de 2022, General Bytes tuvo un incidente de seguridad en el que los piratas informáticos explotaron una vulnerabilidad de día cero en sus servidores de cajeros automáticos para robar criptomonedas de sus clientes.

La compañía dice que planea realizar numerosas auditorías de seguridad de sus productos por varias empresas en un período corto para descubrir y corregir otras fallas potenciales antes de que los malos los encuentren.