Les pirates ont volé plus de 1,5 million de dollars en crypto dans les distributeurs automatiques General Bytes.
Plus de 1,5 million de dollars en crypto ont été volés via un exploit General Bytes Bitcoin ATM. Les pirates ont abusé d'une faille zero-day afin de voler les fonds.
Les guichets automatiques General Bytes Bitcoin ont été piratés
Le 18 mars 2023, le majeur Distributeur automatique de bitcoins Le fournisseur General Bytes a connu un incident de sécurité qui a conduit au vol de plus de 1,5 million de dollars en Bitcoin.
General Bytes a vendu plus de 15 000 guichets automatiques Bitcoin dans 149 pays (selon son site officiel) et est basée en République tchèque. Le 20 mars, deux jours après l'incident de sécurité, General Bytes a publié un article de blog informant le public du piratage.
Dans le Article de blog sur les octets généraux, il a été déclaré que l'attaquant à l'origine de l'exploit "pourrait télécharger son application Java à distance via l'interface de service principale utilisée par les terminaux pour télécharger des vidéos et l'exécuter à l'aide de l'utilisateur BATM privilèges."
L'attaquant "a scanné l'espace d'adresse IP d'hébergement du cloud Digital Ocean et identifié les services CAS en cours d'exécution sur les ports 7741, y compris le service General Bytes Cloud et d'autres opérateurs de guichets automatiques britanniques exécutant leurs serveurs sur Digital Ocean."
L'opérateur malveillant a exploité une faille zero-day dans l'interface de service maître de General Bytes afin de télécharger l'application java.
À la suite de la exploit du jour zéro, l'attaquant a pu faire ce qui suit :
- Accédez à la base de données.
- Lisez et déchiffrez les clés API pour accéder aux fonds détenus dans les échanges et les portefeuilles actifs.
- Retirez des fonds des hot wallets ciblés.
- Téléchargez les noms d'utilisateur et les hachages de mot de passe.
- Désactivez l'authentification à deux facteurs.
- Accédez aux journaux d'événements du terminal et détectez les cas d'utilisateurs scannant leur clé privée à un guichet automatique General Bytes (que les anciennes versions du logiciel General Bytes enregistreraient).
Au moins 56 Bitcoins ont été volés lors de l'attaque, pour un montant de plus de 1,5 million de dollars au moment de la rédaction.
La vulnérabilité exploitée a enfin été corrigée
Il a fallu 15 heures à General Bytes pour publier un correctif pour la vulnérabilité, bien que le piratage ait déjà été exécuté avec succès à ce stade.
General Bytes a déclaré dans son article de blog concernant le piratage que, dans les multiples audits de sécurité menés par l'entreprise depuis 2021, la vulnérabilité logicielle exploitée n'a jamais été détectée.
Il s'agit du deuxième incident de sécurité de General Bytes au cours de l'année écoulée, avec une vulnérabilité exploitée en août 2022 afin de voler à nouveau des fonds.
General Bytes ferme son service cloud
Dans le billet de blog susmentionné, General Bytes a informé les lecteurs qu'il fermerait son service cloud. Désormais, le fournisseur de guichets automatiques demandera à ses clients d'accéder à ses guichets automatiques via des serveurs autonomes.
General Bytes a également déclaré que les clients ont déjà reçu des informations sur cette nouvelle configuration et espère que les utilisateurs comprendront le changement.
Le crime cryptographique reste répandu
Ce hack General Bytes Bitcoin ATM n'est qu'un autre des milliers de crimes cryptographiques qui ont eu lieu ces dernières années. Les cybercriminels continuent de se concentrer sur cette industrie pour voler des données et des fonds, la crypto-monnaie offrant une couche supplémentaire d'anonymat. Bien que les méthodes de détection et de prévention s'améliorent, il existe encore de nombreuses façons par lesquelles les organisations et les individus peuvent perdre leurs actifs dans des cyberattaques basées sur la cryptographie.
