General Bytes, 17 ve 18 Mart tarihleri arasında sistemlerini etkileyen bir güvenlik olayını kabul etti ve kabul etti. Bitcoin ATM üreticisi şirket, bir dolandırıcının sıfır gün güvenlik açığından yararlanarak kendi java uygulamasını uzaktan eklediğini belirten bir danışma belgesi yayınladı.
Dolandırıcılar, General Bytes hack olayında yaklaşık 56 Bitcoin, 21 Ethereum ve 1.219 Litecoin çaldı.
“17-18 Mart 2023 tarihlerinde GENERAL BYTES bir güvenlik olayı yaşamıştır. Müşterileri, kişisel bilgilerini korumak için derhal harekete geçmeye çağıran bir bildiri yayınladık.” cıvıldamak General Bytes tarafından.
17-18 Mart 2023 tarihlerinde GENERAL BYTES güvenlik olayı yaşamıştır.
Müşterileri kişisel bilgilerini korumak için derhal harekete geçmeye teşvik eden bir bildiri yayınladık.
Tüm müşterilerimizi fonlarını korumak için derhal harekete geçmeye ve https://t.co/fajc61lcwR…
— GENEL BAYTLAR (@generalbytes) 18 Mart 2023
General Bytes hacklemesinde ne oldu?
Dolandırıcılar, terminaller tarafından batm kullanıcı ayrıcalıkları aracılığıyla video yüklemek ve çalıştırmak için kullanılan bir ana hizmet arayüzü aracılığıyla kendi java uygulamalarını uzaktan yükleyebildiler. Bu nedenle, bilgisayar korsanları aşağıdakileri yapabildi:
- Kullanıcı adları ve parola karmaları ile veritabanına erişin ve indirin
- 2 faktörlü kimlik doğrulamayı kapatın
- Terminal olay günlüklerine erişin
- ATM’de özel anahtarları tarayan kullanıcıların örneklerini kontrol edin
- Sıcak cüzdanlardaki fonlara erişmek için kullanılan API anahtarlarının şifresini çözün
- Fonları gönder
General Bytes korsanlığı nasıl gerçekleşti?
Bilgisayar korsanları, sunuculara video yüklemek için kullanılan Bitcoin ATM’lerinin ana hizmet arayüzündeki güvenlik açığını tespit ettikten sonra Digital Ocean bulut barındırma IP adresini taradı.
CAS hizmetlerini 7741 numaralı bağlantı noktalarında, GB Bulut hizmetinde ve GB ATM operatörlerinde çalıştırdılar.
General Bytes hack’lemesi, hacker’ın kendi uygulamasını yönetici arayüz sunucusuna yüklemesiyle sonuçlandı.
Bilgisayar korsanları, 1.5 milyon dolar değerinde 56.283 BTC, 36.500 dolar değerinde 21.823 Ethereum ve 96.500 dolar değerinde 1.219.183 LTC çaldı.
Bilgisayar korsanlarının aşağıdaki IP adresleri izlendi:
- 204.4.202
- 104.237.25
- 104.237.25
Şirket tarafından 20221118.48 ve 20230120.44 ile iki yama yayınlandı.
General Bytes hacklemesinin ardından
Bilgisayar korsanı ganimetlerini gizlemek için master.log ve admin.log’dan günlükleri sildiğinden, kullanıcılar master.log’da yalnızca bir günlük etkinlikler bulabilir.
Sıcak cüzdanlarının saldırıya uğramadığı tespit edilemediği için kullanıcılardan yeni API anahtarlarını yeniden oluşturmaları ve eskilerini geçersiz kılmaları istendi.
Dahası General Bytes, danışma belgesinde Bulut hizmetlerini kapatacağını çünkü “Birden fazla operatöre aynı anda erişim sağlayan bir sistemin güvenliğini sağlamak teorik olarak (ve pratikte) imkansız, bazılarının kötü aktörler olduğu” dedi.
Kullanıcılara, danışma belgesinde bahsedilen çözümleri ve yamaları uygulamadan önce GB ATM sunucularına erişmemeleri tavsiye edilir. Resmi danışma belgesi, kullanıcıların hesaplarına erişmeden önce gerçekleştirmeleri gereken temel adımları da listeledi.
Önceki General Bytes hacklemesinde kullanılan benzer taktikler
Ağustos 2022’de General Bytes saldırıya uğradı ve burada bilgisayar korsanları, sistemlere virüs bulaştırmayı gerektirmeyen kötü amaçlı yazılım içermeyen bir saldırı kullandı.
Bu General Bytes siber saldırısında, bilgisayar korsanları ATM sunucusundaki sıfır günlük bir güvenlik açığından yararlandı ve müşterilerin hesaplarından kripto para çaldı.
Kripto uygulama sunucusu (CAS) arayüzündeki güvenlik açığı, ‘gb’ adlı bir yönetici kullanıcıyı uzaktan oluşturmak için kullanıldı. Gelen kripto para birimini kendi hesabına yönlendirmek için alım satım ayarlarını değiştirdiler.