دستگاه‌های خود پرداز بیت کوین مورد حمله هکرها قرار گرفتند

بوسیله Sinan Bashirian در آگوست 22, 2022

سرورهای جنرال بایتز (General Bytes)، سازنده دستگاه های خودپرداز بیت کوین، در تاریخ ۱۸ آگوست (۲۷ مرداد) مورد «حمله روز صفر (Zero Day Attack)» قرار گرفت، و هکرها توانستند خود را ادمین پیش فرض قرار دهند و تنظیمات را به گونه‌ای تغییر دهند که پرداخت‌های مشتریان خودپردازهای این شرکت به آدرس کیف پول آن‌ها منتقل شود.

به گزارش دیپ مانی و به نقل از کوین تلگراف، میزان رمزارز دزدیده شده و تعداد دستگاه های خودپردازی که مورد حمله قرار گرفته‌اند فاش نشده است، اما این شرکت به اپراتورهای خودپرداز توصیه کرد سریعا نرم‌افزار خود را آپدیت کنند.

جنرال بایتز مالک و اداره کننده ۸۸۲۷ دستگاه خودپرداز بیت کوین در بیش از ۱۲۰ کشور است. دفتر مرکزی این شرکت و محل تولید این دستگاه‌های ATM، شهر پراگ در جمهوری چک است. مشتریان این خودپردازها می‌توانند تا سقف ۴۰ بیت کوین خرید و فروش کنند.

این آسیب‌پذیری از زمانی که هکرها در تاریخ ۱۸ آگوست، نرم‌افزار CAS را به نسخه 20201208 به‌روزرسانی کرد، وجود داشت. جنرال بایتز از مشتریان خود خواسته است تا زمانی که سرورها به نسخه‌های 20220725.22 و 20220531.38 (برای مشتریانی که با نسخه 20220531 کار می‌کنند) به‌روزرسانی نشده است، از استفاده از سرورهای خودپرداز جنرال بایتز خودداری کنند.

همچنین به مشتریان توصیه شده است تنظیمات فایروال سرور خود را تغییر دهند تا رابط مدیریت CAS تنها از طریق IP‌های مجاز قابل دسترسی باشد.

قبل از فعال‌سازی مجدد پایانه‌ها، جنرال بایتز به مشتریان یادآوری کرد که «تنظیمات فروش کریپتو» خود را بررسی کنند تا مطمئن شوند هکرها تنظیمات را طوری تغییر نداده‌اند که وجوه دریافتی به جای مشتریان به کیف پول آن‌ها منتقل شود.

جنرال بایتز اظهار داشت که چندین ممیزی امنیتی از زمان آغاز به کار آن در سال ۲۰۲۰ انجام شده است که هیچ یک از آن‌ها این آسیب‌پذیری را شناسایی نکرده‌اند.

این حمله چگونه اتفاق افتاد؟

تیم مشاوره امنیتی جنرال بایتز در وبلاگ این شرکت تولید کننده خودپرداز بیت کوین اعلام کرد که هکرها برای دسترسی به سرور برنامه کاربردی رمزنگاری (CAS) شرکت یک حمله «روز صفر (Zero Day)» انجام داده‌اند. سرور CAS کل عملیات ATM را مدیریت می‌کند که اجرای خرید و فروش کریپتو در صرافی‌ها و لیست رمزارزهای مورد پشتیبانی را شامل می‌شود.

این شرکت بر این باور است که هکرها «سرورهای آسیب‌پذیری که روی پورت‌های TCP شماره ۷۷۷۷ یا ۴۴۳ اجرا می‌شوند، از جمله سرورهایی که روی سرویس ابری جنرال بایتز میزبانی می‌شوند را یافته و مورد سوء استفاده قرار داده‌اند». پس از آن هکرها خود را به عنوان یک ادمین پیش‌فرض در CAS با نام «gb» اضافه کردند و سپس تنظیمات «خرید» و «فروش» را به گونه‌ای تغییر دادند که هر رمز ارز دریافتی توسط دستگاه خودپرداز بیت‌کوین به آدرس کیف پول هکرها منتقل شود.