Cajeros automáticos de Bitcoin de General Bytes pirateados usando día cero

El fabricante líder de cajeros automáticos de Bitcoin, General Bytes, reveló que los piratas informáticos robaron criptomonedas de la compañía y sus clientes utilizando una vulnerabilidad de día cero en su plataforma de gestión BATM.

General Bytes fabrica cajeros automáticos de Bitcoin que permiten a las personas comprar o vender más de 40 criptomonedas. Los clientes pueden implementar sus cajeros automáticos utilizando servidores de administración independientes o el servicio en la nube General Bytes.

Durante el fin de semana, la compañía reveló que los piratas informáticos explotaron una vulnerabilidad de día cero rastreada como BATM-4780 para cargar de forma remota una aplicación Java a través de la interfaz de servicio maestro de ATM y ejecutarla con privilegios de usuario 'batm'.

"El atacante escaneó el espacio de direcciones IP de alojamiento en la nube de Digital Ocean e identificó servicios CAS en ejecución en los puertos 7741, incluido el servicio General Bytes Cloud y otros operadores de cajeros automáticos de GB que ejecutan sus servidores en Digital Ocean (nuestro proveedor de alojamiento en la nube recomendado)", explicó General Bytes en una divulgación de incidentes de seguridad.

La compañía recurrió a Twitter para instar a los clientes a "tomar medidas inmediatas" e instalar las últimas actualizaciones para proteger sus servidores y fondos de los atacantes.


Después de cargar la aplicación Java, los actores de amenazas pudieron realizar las siguientes acciones en dispositivos comprometidos:

• Posibilidad de acceder a la base de datos.
• Capacidad para leer y descifrar claves API utilizadas para acceder a fondos en billeteras calientes e intercambios.
• Envía fondos desde billeteras calientes.
• Descargue los nombres de usuario, sus hashes de contraseña y desactive 2FA.
• Capacidad para acceder a los registros de eventos del terminal y escanear cualquier instancia en la que los clientes escanearon claves privadas en el cajero automático. Las versiones anteriores del software ATM registraban esta información.

General Bytes advirtió que sus clientes y su propio servicio en la nube fueron violados durante los ataques.

"El servicio GENERAL BYTES Cloud fue violado, así como los servidores independientes de otros operadores", destaca el comunicado.

Aunque la compañía reveló cuánto dinero robó el atacante, proporcionaron una lista de direcciones de criptomonedas utilizadas por el pirata informático durante el ataque.

Estas direcciones muestran que el hacker comenzó a robar criptomonedas de los servidores de cajeros automáticos de Bitcoin el 17 de marzo, y la dirección de Bitcoin del atacante recibió 56.28570959 BTC, por un valor aproximado de $ 1,589,000, y 21.79436191 Ethereum, por un valor aproximado de $ 39,000.

Si bien la billetera Bitcoin todavía contiene la criptomoneda robada, los actores de amenazas parecen haber utilizado Uniswap para convertir el Ethereum robado en USDT.

Actualizar servidores ahora

Se insta a los administradores de CAS (Crypto Application Server) a examinar sus archivos de registro "maestros.log" y "admin.log" para detectar cualquier brecha de tiempo sospechosa causada por el atacante que elimina las entradas de registro para ocultar sus acciones en el dispositivo.

El informe del general Byte también advirtió que las aplicaciones JAVA maliciosas cargadas aparecerían en la carpeta "/batm/app/admin/standalone/deployments/" como archivos .war y .war.deployed con nombres aleatorios, como se muestra a continuación.

La compañía señala que los nombres de los archivos son probablemente diferentes por víctima.


Aquellos sin signos de una violación aún deben considerar todas sus contraseñas CAS y claves API comprometidas e invalidarlas inmediatamente y generar otras nuevas. Todas las contraseñas de usuario también deben restablecerse.

Las instrucciones detalladas paso a paso para todos los operadores de servidores sobre la protección de sus puntos finales se incluyen en la declaración de la compañía.

Cerrar el servicio en la nube

General Bytes dice que están cerrando su servicio en la nube, afirmando que le resulta "teóricamente (y prácticamente) imposible" protegerlo de los malos actores cuando debe proporcionar acceso simultáneamente a múltiples operadores.

La compañía proporcionará soporte con la migración de datos a aquellos que deseen instalar su propio CAS independiente, que ahora debe colocarse detrás de un firewall y VPN.

General Byte también ha publicado una corrección de seguridad CAS que corrige la vulnerabilidad explotada, proporcionada en dos parches, 20221118.48 y 20230120.44.

También destaca que el sistema violado se sometió a múltiples auditorías de seguridad desde 2021, pero ninguna identificó la vulnerabilidad explotada.

Además, los investigadores del intercambio de criptomonedas Kraken encontraron múltiples vulnerabilidades en los cajeros automáticos de General Bytes en 2021, que la compañía solucionó rápidamente.

Sin embargo, incluso con estas auditorías de seguridad, en agosto de 2022, General Bytes tuvo un incidente de seguridad donde los piratas informáticos explotaron una vulnerabilidad de día cero en sus servidores de cajeros automáticos para robar criptomonedas de sus clientes.

La compañía dice que planea realizar numerosas auditorías de seguridad de sus productos por parte de múltiples compañías en un corto período de tiempo para descubrir y corregir otras fallas potenciales antes de que los malos actores las encuentren.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta