Punti chiave
Sottratta criptovaluta per un valore di oltre 1,5 milioni di dollari dagli sportelli bancomat Bitcoin sfruttando un difetto sconosciuto nei sistemi di consegna digicash.
Secondo General Bytes, la società che ha venduto gli sportelli automatici e ne aveva gestiti alcuni con un servizio cloud, gli aggressori hanno utilizzato un’interfaccia progettata per caricare video per iniettare invece un’applicazione Java dannosa e quindi hanno acquisito i privilegi degli utenti ATM.
Rubati almeno 56 Bitcoin – circa 1,5 milioni ad oggi dai portafogli crittografici. L’azienda ha emesso una patch 15 ore dopo aver scoperto l’intrusione, ma a quel punto le monete digitali erano sparite.
“L’intero team ha lavorato 24 ore su 24 per raccogliere tutti i dati relativi alla violazione della sicurezza e lavora continuamente per risolvere tutti i casi per aiutare i clienti a tornare online e continuare a far funzionare i propri bancomat il prima possibile“, ha spiegato General Bytes in una nota.
General Bytes ha notificato alle aziende che hanno acquistato i suoi sportelli automatici di chiudere i loro sistemi. Il fornitore, con sede a Praga e un ufficio negli Stati Uniti a Bradenton, in Florida, vende e gestisce cinque diversi modelli di crypto ATM.
Le persone li usano per scambiare Bitcoin e altre valute. In tutto, General Bytes afferma di aver venduto più di 15.000 terminali in 149 paesi supportando più di 180 valute. I sistemi hanno eseguito più di 15,2 milioni di transazioni.
Come sono riusciti a rubare i bitcoin
Le aziende che acquistano gli sportelli automatici li collegano a un server di applicazioni crittografiche (CAS) gestito dal cliente stesso o, fino ad ora, da General Bytes tramite il fornitore di servizi cloud DigitalOcean.
Nella violazione gli aggressori hanno sfruttato una vulnerabilità che non era stata rilevata dal 2021 nonostante i numerosi controlli di sicurezza. Hanno scansionato lo spazio degli indirizzi IP di DigitalOcean e hanno trovato i servizi Crypto Application Server (CAS) sulla porta 7741, incluso il servizio cloud di General Bytes e altri clienti che gestiscono i loro bancomat su DigitalOcean.
“Sfruttando questa vulnerabilità di sicurezza, l’attaccante ha caricato la sua applicazione direttamente sul server utilizzato dall’interfaccia di amministrazione“, ha scritto il l’azienda produttrice di bancomat. “Il server delle applicazioni era, per impostazione predefinita, configurato per avviare le applicazioni nella sua cartella di distribuzione.”
I malviventi hanno avuto accesso al database, hanno letto e decifrato le chiavi API e gli scambi e hanno drenato monete digitali dai portafogli. Potrebbero anche scaricare nomi utente e hash delle password, disattivare l’autenticazione a più fattori, accedere ai registri degli eventi del terminale e cercare istanze in cui gli utenti hanno scansionato le chiavi private sui terminali.
Questo è il secondo attacco di questo tipo a General Bytes, a cui sono state rubate monete digitali nell’agosto 2022 da malintenzionati che sfruttavano un difetto nel CAS.
Il problema con gli hot wallet
Gli hot wallet presentano un problema particolare nel mercato delle criptovalute ad alto rischio, un hot wallet, al contrario di un cold wallet, è un portafoglio digitale sempre connesso a Internet. I portafogli sarebbero più sicuri se disconnessi da Internet, ma gli utenti si affidano a loro per transazioni rapide, che richiedono connettività.
Lo scopo degli hot wallet è fornire una capacità immediata di effettuare transazioni, ma la sicurezza di qualsiasi portafoglio è legata alla sicurezza della chiave privata. Se qualcuno la ottiene diventa di fatto proprietario del portafoglio. Tutti i livelli di protezione contro le frodi non si applicano e non possono essere applicati alle criptovalute.
La General Bytes ha affermato che sta chiudendo i suoi servizi cloud, osservando che è “teoricamente (e praticamente) impossibile proteggere un sistema che concede l’accesso a più operatori contemporaneamente”.
Tutti i clienti ora gestiranno i propri terminali utilizzando i propri server. General Bytes aiuterà le aziende a migrare i propri dati dal cloud ai propri server autonomi. Esorta inoltre i clienti a mantenere il proprio CAS dietro un firewall e una VPN per impedire ad altri aggressori di accedervi tramite Internet.
Il furto di criptovalute è un grande business che sta crescendo. Secondo gli ultimi dati, nel 2022 sono stati rubati 3,8 miliardi di dollari in monete digitali, rispetto ai 500 milioni di dollari di due anni prima.
