El segundo fabricante de cajeros automáticos de Bitcoin más grande del mundo, General Bytes, vio comprometidos sus servidores a través de un ataque Zero-Day el pasado 18 de agosto, lo que permitió a los delincuentes informáticos convertirse en administradores predeterminados y modificar la configuración para que todos los fondos se transfirieran a la dirección de su billetera.
No se ha revelado la cantidad de fondos robados ni la cantidad de cajeros automáticos comprometidos, pero la compañía confirmó el hecho y recomendó urgentemente a los operadores de cajeros automáticos que actualicen su software.
Vale señalar que General Bytes es el segundo fabricante con mayor cantidad de equipos en el mundo, después de Genesis Coin, que tiene más de 15.000. En el caso de General Bytes, según los registros de CoinATMRadar, posee y opera 8.832 cajeros automáticos de Bitcoin y de otras criptomonedas a los que se puede acceder en más de 120 países. La empresa tiene su sede en Praga, República Checa, que es también donde se fabrican los cajeros automáticos. Los clientes de cajeros automáticos pueden comprar o vender más de 40 criptomonedas.
El equipo asesor de seguridad de General Bytes dijo en el blog que los atacantes realizaron la explotación de una vulnerabilidad Zero-Day para obtener acceso al Crypto Application Server (CAS) de la empresa y extraer los fondos. El servidor CAS administra toda la operación del cajero automático, que incluye la ejecución de la compra y venta de criptografía en los intercambios y qué monedas son compatibles.
Según explica Cointelegraph, la vulnerabilidad ha estado presente desde que las modificaciones del delincuente actualizaron el software CAS a una nueva versión. La empresa ha instado a los clientes a que se abstengan de usar sus servidores ATM de General Bytes hasta que actualicen su servidor a las versiones actualizadas.
También ha aconsejado a los clientes que modifiquen la configuración del cortafuegos de su servidor para que solo se pueda acceder a la interfaz de administración de CAS desde direcciones IP autorizadas, entre otras cosas.
Antes de reactivar las terminales, General Bytes también recordó a los clientes que revisaran su «SELL Crypto Setting» para asegurarse de que los atacantes no modificaran la configuración de modo que los fondos recibidos se transfirieran a ellos (y no a los clientes).
La compañía cree que los delincuentes informáticos «exploraron en busca de servidores expuestos que se ejecutan en los puertos TCP 7777 o 443, incluidos los servidores alojados en el propio servicio en la nube de General Bytes». Declaró que se habían realizado varias auditorías de seguridad desde su inicio en 2020, ninguna de las cuales identificó esta vulnerabilidad.
A partir de ahí, los delincuentes informáticos se agregaron a sí mismos como administradores predeterminados en el CAS, llamados gb, y luego procedieron a modificar la configuración de «comprar” y «vender» de modo que cualquier criptomoneda recibida por el cajero ATM cripto se transfiriera a la dirección de la billetera del delincuente informático:
«El atacante pudo crear un usuario administrador de forma remota a través de la interfaz administrativa de CAS a través de una llamada URL en la página que se utiliza para la instalación predeterminada en el servidor y la creación del primer usuario administrador».