Der Bitcoin-Geldautomatenhersteller General Bytes wurde am 18. August Opfer eines sogenannten Zero-Day-Angriffs. Dies ermöglichte es Hackern, sich selbst zum Standardadministrator zu machen und die Einstellungen so zu ändern, dass alle Gelder an ihre Wallet-Adresse gesendet wurden.
Der Gesamtbetrag des gestohlenen Geldes und wie viele Geldautomaten gehackt wurden, wurde nicht bekannt gegeben. Das Unternehmen hat die Betreiber von Geldautomaten jedoch aufgefordert, ihre Software zu aktualisieren.
Der Hack wurde am 18. August von General Bytes veröffentlicht genehmigt. Das Unternehmen betreibt 8.827 Bitcoin-Geldautomaten in mehr als 120 Ländern. Der Hauptsitz des Unternehmens befindet sich in der tschechischen Hauptstadt Prag, wo auch die Geldautomaten hergestellt werden. ATM-Kunden können mehr als 40 Coins kaufen oder verkaufen.
Die Schwachstelle besteht, seit der Hacker am 18. August die CAS-Software auf die Version 20201208 aktualisiert hat.
General Bytes hat seine Kunden davor gewarnt, ihre ATM-Server von General Bytes zu verwenden, bis sie ihre Server auf die Patch-Versionen 20220725.22 oder 20220531.38 aktualisiert haben.
Kunden wurde außerdem empfohlen, die Firewall-Einstellungen ihres Servers so zu ändern, dass der Zugriff auf die CAS-Admin-Oberfläche nur von autorisierten IP-Adressen möglich ist.
Vor der Reaktivierung der Terminals erinnerte General Bytes seine Kunden auch daran, die „SELL Crypto Setting“ zu überprüfen, um sicherzustellen, dass die Hacker die Einstellungen nicht geändert haben, sodass das gesamte erhaltene Geld an die Hacker (und nicht an die Kunden) gesendet wird.
General Bytes gab an, dass seit seiner Einführung im Jahr 2020 mehrere Sicherheitsprüfungen durchgeführt wurden und dass diese Schwachstelle nicht gefunden wurde.
Wie verlief der Angriff?
Die Sicherheitsberater von General Bytes schrieben in einem Blog, dass die Hacker eine Zero-Day-Schwachstelle ausgenutzt hätten, um auf den Crypto Application Server (CAS) des Unternehmens zuzugreifen und die Gelder zu stehlen.
Der CAS-Server verwaltet den gesamten Betrieb des Geldautomaten, einschließlich der Ausführung des Kaufs und Verkaufs von Kryptowährungen an Börsen und der angebotenen Coins.
Das Unternehmen glaubt, dass die Hacker „nach ungeschützten Servern gesucht haben, die auf den TCP-Ports 7777 oder 443 laufen, einschließlich Servern, die auf dem eigenen Cloud-Service von General Bytes gehostet werden“.
Von dort aus meldeten sich die Hacker als Standardadministrator des CAS namens gb an und änderten dann die Kauf- und Verkaufseinstellungen so, dass alle vom Bitcoin-Geldautomaten empfangenen Kryptowährungen stattdessen an die Wallet-Adresse des Hackers übertragen wurden:
Der Angreifer konnte aus der CAS-Admin-Oberfläche über einen URL-Aufruf auf die Seite, die für die Standardinstallation auf dem Server verwendet wird, remote einen Admin-Benutzer erstellen und den ersten Admin-Benutzer erstellen.
