Sieć bankomatów miała lukę, ktoś ją znalazł i wyprowadził sporą sumę. Wszystko odbyło się zdalnie, bo… nie kradł gotówki.
Zaatakowane bankomaty nie służyły do wypłacania banknotów. Ofiarary ataku to urządzenia firmy General Bytes, w których możesz „wybrać” kryptowaluty. W Polsce stoi kilka kryptomatów tego producenta: w Białymstoku, Krakowie, Łodzi, Trójmieście i Warszawie.
Bankomaty kryptowalutowe General Bytes pozwalają kupić kryptowaluty za gotówkę, a niektóre mają też możliwość wypłacenia gotówki za krypto. Automaty obsługują kilka kryptowalut i oczywiście kilkadziesiąt walut „papierowych” krajów, w których działają. By przeprowadzić transakcję, musisz mieć też kod QR portfela krypto, na który mają zostać przelane cyfrowe pieniądze (lub którym płacisz za walutę fizyczną).
General Bytes potwierdza, że centrum sterowania automatami miało nieznaną wcześniej lukę, która została wykorzystana przez złodzieja lub złodziei. Na wszelki wypadek maszyny zostały zdalnie wyłączone i będą mogły wrócić do działania, gdy tylko właściciele je zaktualizują.
Zobacz: Jak można okraść bankomat? Okazuje się, że naprawdę łatwo
Zobacz: Jak okraść bankomat? Można nawet na oczach policji
Skuteczny atak został przeprowadzony trzy dni po tym, jak firma wprowadziła możliwość wsparcia obywateli Ukrainy, a więc 5 sierpnia. Kradzieże trwały więc niecałe dwa tygodnie, ale nie wiadomo dokładnie, ile bankomatów zostało naruszonych oraz ile kryptowalut nie trafiło do prawowitych odbiorców. Nie ma też żadnych poszlak wskazujących na to, czy atak ma związek z Ukrainą, czy to zbieg okoliczności.
Trzeba wiedzieć, że bankomaty General Bytes są zarządzane przez Crypto Application Server – to oprogramowanie w chmurze z interfejsem przeglądarkowym, pozwalające właścicielom bankomatów na zdalne zarządzanie flotą. Atakujący przeszukał przestrzeń adresową dostawcy usług chmurowych Digital Ocean i zidentyfikował działające tam aplikacje CAS, należące do właścicieli automatów. Następnie użył strony, która służy do pierwszej konfiguracji świeżo zakupionego bankomatu i tworzenia pierwszego konta administratora. Wykorzystał przy tym lukę, która pozwoliła na utworzenie konta administratora floty.
Tu pojawia się pierwsza niewiadoma: ile instancji CAS zostało skutecznie przejętych? Co za tym idzie, nie wiemy, ile transakcji zostało przechwyconych i ile zarobili cyberprzestępcy. Wiemy za to, jak przebiegało przejęcie kryptowalut. Atakujący modyfikował ustawienia automatów, podając adresy własnych portfeli jako domyślne dla transakcji. Tym sposobem kryptowaluty nie docierały tam, gdzie powinny.
General Bytes informuje, że wspomniana wyżej luka 0-day w oprogramowaniu administracyjnym była obecna od 8 grudnia 2020 roku. Właściciele bankomatów powinni zainstalować łatki 20220531.38 i 20220725.22, zanim ponownie udostępnią swoje maszyny klientom. General Bytes podkreśla też, że jej oprogramowanie przechodzi liczne audyty bezpieczeństwa.
Źródło zdjęć: sdfg
Źródło tekstu: General Bytes