- Der Bitcoin-Geldautomatenhersteller General Bytes hat seine Kunden aufgefordert, ihre Software zu aktualisieren, nachdem sein Server durch einen Zero-Day-Angriff gehackt wurde.
- Der Angriff erfolgte rund ein Jahr, nachdem Kraken Security Labs die Schwachstelle der meisten Bitcoin-Geldautomaten aufgedeckt hat, da deren Standard-Admin-QR-Code nie geändert wurde.
Der Bitcoin-Geldautomatenhersteller General Bytes hat seine Geldautomaten betreibenden Kunden aufgefordert, ihre Software zu aktualisieren, nachdem sein Server durch einen Zero-Day-Angriff kompromittiert wurde. Nach Angaben des Unternehmens haben sich die Angreifer in den Crypto Application Server (CAS) des Unternehmens gehackt und Gelder gestohlen.
„Die Hacker suchten nach ungeschützten Servern, die auf den TCP-Ports 7777 oder 443 laufen, darunter auch Server, die im Cloud-Service von General Bytes gehostet werden.“
Der Crypto Application Server steuert den gesamten Betrieb einschließlich des Kaufs und Verkaufs von Kryptowährungen kontrolliert. Nachdem sie die Kontrolle erlangt hatten, änderten die Hacker die Einstellungen, um sich selbst als Standardadministrator für das CAS mit dem Namen gb hinzuzufügen. Von dort aus kompromittierten die Hacker die Kauf- und Verkaufseinstellungen, um sicherzustellen, dass alle an die Geldautomaten gesendeten Vermögenswerte an die von ihnen kontrollierten Wallet-Adressen weitergeleitet werden. General Bytes teilte mit:
„Die Angreifer waren in der Lage, einen Admin-Benutzer aus der Ferne über die CAS-Administrationsschnittstelle über einen URL-Aufruf auf der Seite zu erstellen, die für die Standardinstallation auf dem Server und die Erstellung des ersten Administrationsbenutzers verwendet wird.“
Ausser diesen Angaben hat das Unternehmen weder den gestohlenen Betrag noch die betroffenen Geldautomaten bekannt gegeben.
Kraken Security Labs wies auf Schwachstellen in General Bytes hin
General Bytes steuert über 8827 Bitcoin-Geldautomaten in 120 Ländern. Die Kunden können auf über 40 Krypto-Vermögenswerte an den verschiedenen Geldautomaten zugreifen. Im Rahmen seiner Bemühungen, den Schaden zu begrenzen, hat das Unternehmen seinen Kunden geraten, seine Geldautomaten-Server nicht zu benutzen, bis sie auf die Patch-Versionen 20220725.22 und 20220531.38 für Kunden, die auf 20220531 laufen, aktualisiert sind.
Die Kunden wurden auch daran erinnert, ihre Sell Crypto Settings zu überprüfen, bevor sie die Terminals reaktivieren. So können sie überprüfen, ob die Hacker ihre Einstellungen so verändert haben, dass alle eingehenden Gelder auf ihre Wallet-Adressen umgeleitet werden. Um sicherzustellen, dass die CAS-Verwaltungsoberfläche nur von autorisierten IP-Adressen aus zugänglich ist, wurden die Kunden außerdem aufgefordert, ihre Server-Firewall-Einstellungen zu ändern. Als Reaktion auf die Kritik, dass das Unternehmen nicht genug in Sicherheitsprüfungen investiert habe, um den Angriff zu verhindern, erklärte man, seit 2020 seien mehrere Prüfungen durchgeführt worden.
Dieser Angriff erfolgte nun fast ein Jahr, nachdem Kraken Security Labs die Schwachstelle der meisten Bitcoin-Geldautomaten aufgedeckt hat, da ihr Standard-Admin-QR-Code nie geändert wurde. In dem Bericht stellte das Sicherheitsunternehmen fest, dass die BATMTwo-Geldautomatenreihe von General Bytes mehrere Hardware- und Software-Schwachstellen aufweist. Laut Kraken ist es für Hacker einfacher, einen Geldautomaten zu kompromittieren, wenn sie Zugriff auf den Verwaltungscode erhalten. Berichten zufolge hat General Bytes daraufhin die Geldautomatenbetreiber über die Schwachstellen informiert.
„Kraken Security Labs meldete die Schwachstellen am 20. April 2021 an General Bytes. Das Unternehmen veröffentlichte Patches für sein Backend-System (CAS) und informierte seine Kunden, aber für die vollständige Behebung einiger der Probleme sind möglicherweise noch Hardware-Revisionen erforderlich.“