Le fabricant de distributeurs automatiques de bitcoins General Bytes a vu ses serveurs compromis par une attaque de type « zero-day » le 18 août, ce qui a permis aux pirates de se transformer en administrateurs par défaut et de modifier les paramètres afin que tous les fonds soient transférés à l’adresse de leur portefeuille.

Le montant des fonds volés et le nombre de guichets automatiques compromis n’ont pas été divulgués, mais la société a conseillé d’urgence aux opérateurs de guichets automatiques de mettre à jour leur logiciel.

Le piratage a été confirmé le 18 août par General Bytes, qui possède et exploite 8 827 distributeurs automatiques de bitcoins accessibles dans plus de 120 pays. Le siège de la société est situé à Prague, en République tchèque, où sont également fabriqués les DAB. Les clients des DAB peuvent acheter ou vendre plus de 40 pièces.

La vulnérabilité est présente depuis que les modifications apportées par le pirate ont mis à jour le logiciel CAS à la version 20201208 le 18 août.

General Bytes a demandé à ses clients de s’abstenir d’utiliser leurs serveurs ATM General Bytes jusqu’à ce qu’ils mettent à jour leur serveur avec les versions 20220725.22 et 20220531.38 pour les clients fonctionnant sous 20 220 531.

Il a également été conseillé aux clients de modifier les paramètres du pare-feu de leur serveur afin que l’interface d’administration CAS ne soit accessible qu’à partir d’adresses IP autorisées, entre autres.

Avant de réactiver les terminaux, General Bytes a également rappelé aux clients de vérifier leurs « paramètres de vente de cryptomonnaie » pour s’assurer que les pirates n’ont pas modifié les paramètres de manière à ce que les fonds reçus leur soient transférés (et non aux clients).

General Bytes a déclaré que plusieurs audits de sécurité avaient été réalisés depuis sa création en 2020, et qu’aucun d’entre eux n’avait identifié cette vulnérabilité.

Comment l’attaque s’est produite

L’équipe de conseillers en sécurité de General Bytes a déclaré sur le blog que les pirates ont mené une attaque de vulnérabilité de type « zero-day » pour accéder au serveur d’application cryptomonnaie (CAS) de l’entreprise et extraire les fonds.

Le serveur CAS gère l’ensemble du fonctionnement du distributeur automatique de billets, ce qui inclut l’exécution de l’achat et de la vente de cryptomonnaie sur les échanges et quelles pièces sont prises en charge.

À lire également : Vulnérable : Kraken révèle que de nombreux distributeurs automatiques de bitcoins aux États-Unis utilisent toujours les codes QR d’administration par défaut

La société pense que les pirates ont « scanné les serveurs exposés fonctionnant sur les ports TCP 7777 ou 443, y compris les serveurs hébergés sur le propre service de cloud de General Bytes »

À partir de là, les pirates se sont ajoutés en tant qu’administrateur par défaut sur le CAS, nommé gb, et ont ensuite procédé à la modification des paramètres d’« achat » et de « vente » de sorte que toute cryptomonnaie reçue par le Bitcoin ATM soit plutôt transférée à l’adresse du portefeuille du pirate :

« Le pirate a pu créer un utilisateur administrateur à distance via l’interface d’administration du CAS via un appel d’URL sur la page qui est utilisée pour l’installation par défaut sur le serveur et la création du premier utilisateur d’administration. »