Hackers hebben meer dan $ 1,5 miljoen aan crypto gestolen van geldautomaten van General Bytes.
Meer dan $ 1,5 miljoen aan crypto is gestolen via een General Bytes Bitcoin ATM-exploit. Hackers misbruikten een zero-day-fout om het geld te stelen.
Algemene bytes Bitcoin-geldautomaten zijn gehackt
Op 18 maart 2023 majoor Bitcoin-geldautomaat provider General Bytes ervoer een beveiligingsincident dat leidde tot de diefstal van meer dan $ 1,5 miljoen in Bitcoin.
General Bytes heeft meer dan 15.000 Bitcoin-geldautomaten verkocht in 149 landen (volgens zijn officiële website), en is gevestigd in Tsjechië. Op 20 maart, twee dagen na het beveiligingsincident, bracht General Bytes een blogbericht uit waarin het publiek werd geïnformeerd over de hack.
In de General Bytes-blogpost, werd gesteld dat de aanvaller achter de exploit "zijn java-applicatie op afstand kon uploaden via de master-service-interface die door terminals wordt gebruikt om video's te uploaden en uit te voeren met de BATM-gebruiker voorrechten."
De aanvaller "scande de IP-adresruimte van de Digital Ocean-cloud en identificeerde draaiende CAS-services op poorten 7741, inclusief de General Bytes Cloud-service en andere GB ATM-operators die hun servers op Digital Ocean laten draaien."
De kwaadwillende operator misbruikte een zero-day-fout in de hoofdservice-interface van General Bytes om de Java-toepassing te uploaden.
Als gevolg van de zero-day exploit, kon de aanvaller het volgende doen:
- Toegang tot de databank.
- Lees en decodeer API-sleutels om toegang te krijgen tot fondsen in beurzen en hot wallets.
- Geld opnemen uit de gerichte hot wallets.
- Gebruikersnamen en wachtwoordhashes downloaden.
- Schakel tweefactorauthenticatie uit.
- Krijg toegang tot logboeken van terminalgebeurtenissen en detecteer gebruikers die hun privésleutel scannen bij een geldautomaat van General Bytes (die oudere versies van de software van General Bytes zouden loggen).
Bij de aanval werden ten minste 56 Bitcoins gestolen, wat op het moment van schrijven goed was voor meer dan $1,5 miljoen.
De misbruikte kwetsbaarheid is eindelijk gepatcht
Het kostte General Bytes 15 uur om een patch voor de kwetsbaarheid uit te brengen, hoewel de hack op dat moment al met succes was uitgevoerd.
General Bytes verklaarde in zijn blogpost over de hack dat bij de meerdere beveiligingsaudits die het bedrijf sinds 2021 heeft uitgevoerd, de uitgebuite softwarekwetsbaarheid nooit is ontdekt.
Dit is het tweede beveiligingsincident van General Bytes in het afgelopen jaar, waarbij in augustus 2022 een kwetsbaarheid werd misbruikt om opnieuw geld te stelen.
General Bytes sluit zijn cloudservice
In de eerder genoemde blogpost liet General Bytes de lezers weten dat het zijn cloudservice zou sluiten. De ATM-aanbieder verlangt voortaan dat zijn klanten toegang krijgen tot zijn ATM's via stand-alone servers.
General Bytes verklaarde ook dat klanten al informatie hebben ontvangen over deze nieuwe opzet en hoopt dat gebruikers begrip zullen hebben voor de verandering.
Crypto-criminaliteit blijft wijdverbreid
Deze General Bytes Bitcoin ATM-hack is slechts een van de duizenden crypto-misdaden die de afgelopen jaren hebben plaatsgevonden. Cybercriminelen blijven zich op deze branche richten om gegevens en geld te stelen, waarbij cryptocurrency een extra laag anonimiteit biedt. Hoewel detectie- en preventiemethoden verbeteren, zijn er nog steeds tal van manieren waarop organisaties en individuen hun activa kunnen verliezen in op crypto gebaseerde cyberaanvallen.
