هکرها از آسیب پذیری Zero Day در سرورهای خودپرداز بیت کوین جنرال بایت برای سرقت ارزهای دیجیتال از مشتریان سوء استفاده کرده اند.
به گزارش تک ناک، زمانی که مشتریان ارزهای دیجیتال را از طریق دستگاه خودپرداز واریز یا خرید می کنند، وجوه توسط هکرها خارج می شود.
جنرال بایت تولید کننده دستگاه های خودپرداز بیت کوین است که بسته به محصول، به افراد امکان خرید یا فروش بیش از 40 ارز دیجیتال مختلف را می دهد.
دستگاههای خودپرداز بیتکوین توسط یک سرور کاربردی رمزنگاری از راه دور (CAS) کنترل میشوند که عملکرد دستگاه خودپرداز، ارزهای رمزپایه پشتیبانی شده را مدیریت میکند و خرید و فروش ارزهای دیجیتال را در صرافیها انجام میدهد.
استفاده از Zero-Day برای هک CSA
دیروز، یک مشتری جنرال بایت با Bleeping Computer تماس گرفت و اعلام کرد که هکرها بیت کوین را از دستگاه های خودپرداز آنها می دزدند. بر اساس یک مشاوره امنیتی جنرال بایت که در 18 آگوست(پنج شنبه گذشته) منتشر شد، این حملات با استفاده از یک آسیبپذیری در سرور برنامه کاربردی رمزنگاری (CAS) این شرکت انجام شده است.
در مشاوره General Bytes آمده است: «مهاجم توانست از راه دور یک کاربر ادمین در CAS از طریق یک URL در صفحه ای که برای نصب پیش فرض روی سرور و ایجاد اولین کاربربا دسترسی ادمین استفاده می شود، ایجاد کند.
جنرال بایت معتقد است که هکرها اینترنت را برای یافتن سرورهای آسیب پذیر در حال اجرا بر روی پورت های TCP 7777 یا 443، از جمله سرورهای میزبانی شده در Digital Ocean و سرویس ابری جنرال بایت، اسکن کردند.
هنگامی که هکرها این تنظیمات را انجام دادند، هرگونه ارز دیجیتال دریافت شده توسط CAS برای هکرها ارسال می شد.
مشاور امنیتی توضیح میدهد: « زمانی که مشتریان سکهها را به دستگاه خودپرداز ارسال میکردند دستگاههای خودپرداز دو طرفه شروع به ارسال سکهها به کیف پول مهاجم کردند.آنها همچنین چک لیستی از مراحلی را ارائه کردند که باید روی دستگاه ها قبل از اینکه دوباره به کار گرفته شوند، انجام شود.جالب است بدانیم که اگر سرورها فقط برای اجازه دادن به اتصالات از آدرس های IP قابل اعتماد فایروال شده بودند، هکرها نمی توانستند این حملات را انجام دهند.
بنابراین، پیکربندی فایروالها فقط برای اجازه دسترسی به سرور برنامه رمزنگاری از یک آدرس IP قابل اعتماد، مانند محل ATM یا دفاتر مشتری، حیاتی است.بر اساس اطلاعات ارائه شده توسط Binary Edge، در حال حاضر هیجده سرور برنامه رمزنگاری General Byte هنوز در معرض اینترنت هستند که اکثریت آنها در کانادا هستند.مشخص نیست چند سرور با استفاده از این آسیبپذیری مورد نفوذ قرار گرفته و چه مقدار ارز دیجیتال تاکنون به سرقت رفته است.
