General Bytes Bitcoin ATMs hacked using zero-day, $1.5M stolen
2023/03/20 BleepingComputer — 大手 Bitcoin ATM メーカーの General Bytes は、同社の BATM 管理プラットフォームのゼロデイ脆弱性を悪用するハッカーたちが、同社と顧客から暗号通貨を盗み出したことを明らかにした。 General Bytes は、40種類以上の暗号通貨を売買できる Bitcoin ATM を製造している。そして、顧客である事業者たちは、スタンドアロンの管理サーバまたは、General Bytes のクラウド・サービスを使用して、ATM を展開することが可能となっている。
この週末に General Bytes が明らかにしたのは、BATM-4780 として追跡されてきたゼロデイ脆弱性の悪用に成功したハッカーが、ATM のマスター・サービス・インターフェイスを介して Java アプリケーションをリモートでアップロードし、”batm” ユーザー特権で実行したことだ。
General Bytes は「攻撃者は、Digital Ocean のクラウド・ホスティング IP アドレス空間をスキャンし、General Bytes Cloud サービスや、Digital Ocean でサーバを運用している General Bytes 事業者などの、ポート 7741 で実行されている CAS サービスを特定した」とセキュリティ・インシデントの開示で説明している。
また、同社は Twitter で、「攻撃者からサーバと資金を守るために、直ちに行動を起こすべきだ。最新のアップデートのインストールを強く推奨する」と顧客に呼びかけている。
脅威アクターたちは、Java アプリケーションをアップロードした後に、侵害したデバイス上で、以下のアクションを実行できる:
- データベースへのアクセス。
- ホットウォレットや取引所の資金にアクセスするための、API キーの読取/復号化。
- ホットウォレットからの資金の送。
- ユーザー名/パスワード・ハッシュのダウンロードと 2FA の無効化。
- 端末のイベントログにアクセスし、顧客が ATM で秘密鍵をスキャンした事例を探し出す。古いバージョンの ATM ソフトウェアでは、この情報が記録されていた。
General Bytes は、今回の攻撃で顧客と自社のクラウド・サービスが侵害されたと警告している。同社の声明は、「GENERAL BYTES のクラウド・サービスは、他のオペレータが運用するスタンドアロン・サーバと同様に侵害された」と強調している。
同社は、攻撃者により盗まれた金額を公表し、攻撃中にハッカーが使用した暗号通貨アドレスのリストも提供した。これらのアドレスは、3月17日にハッカーが、Bitcoin ATM サーバから暗号通貨を盗み始めたことを示している。攻撃者の Bitcoin アドレスは、$1,589,000 相当の 56.28570959 BTC と、$39,000 相当の 21.79436191 Ethereum を受け取っている。
この Bitcoin ウォレットには盗まれた暗号通貨が残っているが、脅威者は Uniswap を介して、盗み出した Ethereum を USDT に変換したようだ。
直ちにサーバをアップグレード!
CAS (Crypto Application Server) の管理者は、”master.log” と “admin.log” のログファイルを調べ、攻撃者がデバイス上での行動を隠すために、ログエントリを削除したと疑われる時間のズレの有無を確認するよう促されている。
General Byte のレポートによると、アップロードされた悪意の Jave アプリケーションは、以下に示すように、ランダムな名前の “.war” および “.war.deployed” ファイルとして “/batm/app/admin/standalone/deployments/” フォルダに現れるとされる。
また、同社は、被害者ごとにファイル名が異なる可能性が高いとも指摘している。
侵害の兆候がない場合でも、CAS パスワードと API キーは、すべてが侵害されたと考え、直ちに無効化し、新しいパスワードを生成する必要がある。また、すべてのユーザーのパスワードもリセットする必要がある。
エンドポイントを保護するための、すべてのサーバ・オペレーター向けの詳細なステップ by ステップの指示が、同社の声明に含まれている。
クラウド・サービスのシャットアウト
General Bytes は、複数の事業者に対して同時にアクセスを提供する必要がある場合において、悪意の事業者からクラウド・サービスを保護することは、理論的にも現実的にもい不可能だと判断し、同社のクラウド・サービスを停止すると述べている。
同社は、独自のスタンドアロン CAS をインストールする事業者に対して、データ移行のサポートを提供するとしており、現在はファイアウォールと VPN の背後に配置する必要があると説明している。
さらに General Byte は、悪用された脆弱性に対処する CAS のセキュリティ修正プログラムをリリースし、20221118.48/20230120.44 の両バージョンでパッチを提供している。
また、侵入されたシステムに関しては、2021年以降において複数回のセキュリティ監査を受けたが、悪用された脆弱性は特定されなかったと明かしている。
さらに、暗号通貨取引所 Kraken の研究者たちは、2021年に General Bytes の ATM に複数の脆弱性を発見したが、すぐに同社は修正したと述べている。
しかし、こうしたセキュリティ監査を行っても、2022年8月に General Bytes は、ATM サーバのゼロデイ脆弱性を悪用したハッカーが、顧客から暗号通貨を盗み出すというセキュリティ・インシデントを引き起こしている。
同社は、自社製品のセキュリティ監査を、複数の組織により集中的に実施し、脅威アクターたちが見つける前に、その他の潜在的な欠陥を発見/修正する計画だという。
Bitcoin ATM について調べてみたら、2021年3月に Reuters が「米国で増殖するビットコインATM 手軽さが人気」という記事を出していました。読んでみると、すっかりと社会に溶け込んでいる様子が分かりますが、それと同時に、今日の記事にあるような、新たなサイバー犯罪の要因となる理由も分かってきます。
IoT OT Security News 
You must be logged in to post a comment.