Hackean cajeros automáticos de Bitcoin y roban más de 1.5 millones de dólares

El fabricante líder de cajeros automáticos de Bitcoin, General Bytes, reveló que hackers robaron criptomonedas de la empresa y sus clientes utilizando una vulnerabilidad de día cero en su plataforma de gestión BATM.

General Bytes (GB) fabrica cajeros automáticos de Bitcoin que permiten a las personas comprar o vender más de 40 criptomonedas. Los clientes pueden implementar sus cajeros automáticos utilizando servidores de administración independientes o el servicio en la nube de General Bytes.

Durante el fin de semana, la compañía reveló que los hackers explotaron una vulnerabilidad de día cero identificada como BATM-4780 para cargar de forma remota una aplicación Java a través de la interfaz de servicio maestro de ATM y ejecutarla con privilegios de usuario ‘batm’.

“El atacante escaneó el espacio de direcciones IP de alojamiento en la nube de Digital Ocean e identificó la ejecución de servicios CAS en los puertos 7741, incluido el servicio General Bytes Cloud y otros operadores de cajeros automáticos de GB que ejecutan sus servidores en Digital Ocean (nuestro proveedor de alojamiento en la nube recomendado)”.

Explicación de General Bytes en la divulgación del incidente de seguridad.

La compañía recurrió a Twitter para instar a los clientes a “tomar medidas inmediatas” e instalar las últimas actualizaciones para proteger sus servidores y fondos de los atacantes.

On March 17-18th, 2023, GENERAL BYTES experienced a security incident.

We released a statement urging customers to take immediate action to protect their personal information.

We urge all our customers to take immediate action to protect their funds and https://t.co/fajc61lcwR…

— GENERAL BYTES (@generalbytes) March 18, 2023

Ataque 

Después de cargar la aplicación Java, los atacantes pudieron realizar las siguientes acciones en los dispositivos comprometidos:

• Posibilidad de acceder a la base de datos.
• Capacidad para leer y descifrar claves API utilizadas para acceder a fondos en carteras y exchanges activos.
• Envíar fondos desde carteras calientes.
• Descargar los nombres de usuario, sus hashes de contraseña y desactivar 2FA.
• Capacidad para acceder a los registros de eventos de la terminal y buscar cualquier instancia en la que los clientes escanearon claves privadas en el cajero automático. Las versiones anteriores del software del cajero automático registraban esta información.

General Bytes advirtió que sus clientes y su propio servicio en la nube fueron vulnerados durante los ataques.

“Se vulneró el servicio GENERAL BYTES Cloud, así como los servidores independientes de otros operadores”,  destaca el comunicado.

La empresa reveló cuánto dinero robó el atacante y además proporcionó una  lista de direcciones de criptomonedas utilizadas por el hacker durante el ataque.

Estas direcciones muestran que el hacker comenzó a robar criptomonedas de los servidores de cajeros automáticos de Bitcoin el 17 de marzo, y la dirección de Bitcoin del atacante recibió  56.28570959 BTC, con un valor aproximado de $1,589,000, y  21.79436191 Ethereum, con un valor aproximado de $39,000.

Si bien la billetera de Bitcoin todavía contiene la criptomoneda robada, los atacantes parecen haber usado Uniswap para convertir el Ethereum robado en USDT.

Actualizar servidores inmediatamente

Expertos instan a los administradores de CAS (Crypto Application Server) a que examinen sus archivos de registro “master.log” y “admin.log” en busca de brechas de tiempo sospechosas causadas por el atacante que eliminó entradas de registro para ocultar sus acciones en el dispositivo.

El informe de General Byte también advirtió que las aplicaciones JAVA maliciosas cargadas aparecen en la carpeta “/batm/app/admin/standalone/deployments/” como archivos .war y .war.deployed con nombres aleatorios, como se muestra a continuación.

La compañía señala que es probable que los nombres de los archivos sean diferentes según la víctima.

Aquellos que no presenten signos de vulneración aún deben considerar todas sus contraseñas de CAS y claves de API comprometidas e inmediatamente invalidarlas y generar otras nuevas. Todas las contraseñas de usuario también deben restablecerse.

En la declaración de la compañía se incluyen instrucciones detalladas paso a paso para todos los operadores de servidores sobre cómo proteger sus terminales.

Cerrando el servicio en la nube

General Bytes dice que está cerrando su servicio en la nube, afirmando que le resulta “teóricamente (y prácticamente) imposible” protegerlo de los atacantes cuando debe proporcionar acceso simultáneamente a múltiples operadores.

La empresa brindará asistencia con la migración de datos a aquellos que deseen instalar su propio CAS independiente, que ahora debe colocarse detrás de un firewall y una VPN.

General Byte también ha publicado una corrección de seguridad de CAS que aborda la vulnerabilidad explotada, proporcionada en dos parches, 20221118.48 y 20230120.44.

También destaca que el sistema vulnerado se sometió a múltiples auditorías de seguridad desde 2021, pero ninguna identificó la vulnerabilidad explotada.

Además, los investigadores del exchange de criptomonedas Kraken encontraron múltiples vulnerabilidades en los cajeros automáticos de General Bytes en 2021, que la compañía solucionó rápidamente.

Sin embargo, incluso con estas auditorías de seguridad, en agosto de 2022, General Bytes tuvo un incidente de seguridad en el que los  hackers explotaron una vulnerabilidad de día cero en sus servidores de cajeros automáticos para robar criptomonedas de sus clientes.

La compañía dice que planea realizar numerosas auditorías de seguridad de sus productos por varias empresas en un período corto para descubrir y corregir otras fallas potenciales antes de que los atacantes los encuentren.

Riesgos inherentes 

El incidente subraya el riesgo de almacenar criptomonedas en billeteras accesibles por Internet, comúnmente llamadas billeteras calientes. A lo largo de los años, los atacantes han vaciado ilegalmente las billeteras calientes con cantidades incalculables de monedas digitales. Estos han explotado diversas vulnerabilidades en las infraestructuras de criptomonedas o engañan a los titulares de las billeteras para que proporcionen las claves de cifrado necesarias para realizar retiros.

Los profesionales de la seguridad han aconsejado durante mucho tiempo a las personas que almacenen fondos en billeteras frías, lo que significa que no se puede acceder directamente a Internet. Desafortunadamente, los BATM y otros tipos de cajeros automáticos de criptomonedas generalmente no pueden seguir esta práctica porque las terminales deben estar conectadas a billeteras calientes para que puedan realizar transacciones en tiempo real. Eso significa que es probable que los BATM sigan siendo un objetivo principal para los hackers.