Des pirates vident les guichets automatiques pour bitcoins de 1,5 million de dollars en exploitant une faille 0-day, GENERAL BYTES, le fabricant des guichets, ferme son cloud aprs le forfait

LinkedIn est la marque la plus usurpe par les cybercriminels et reprsente 52 % de toutes les attaques de phishing mondiales Il s'agit d'une hausse de 44 % par rapport au trimestre prcdent



GENERAL BYTES, le fabricant de guichets automatiques pour bitcoins et autres cryptomonnaies vient dtre victime dun piratage qui va coter environ 1,5 million de dollars ses clients. En effet, le 18 mars dernier, des pirates ont russi exploiter une faille 0-day pour sintroduire dans les portefeuilles de plusieurs clients partir des guichets automatiques de lentreprise installs Prague, en Rpublique tchque et en ont extrait 56 bitcoins dont la valeur unitaire se ngocie actuellement un peu plus de 27 800 dollars. En plus de mettre mal la confiance de lentreprise auprs de ces clients, ce forfait laisse de nombreux utilisateurs dans une situation difficile.

Comment fonctionnent les guichets automatiques pour bitcoins de GENERAL BYTES ?

GENERAL BYTES se prsente comme le plus grand fabricant mondial de guichets automatiques pour le bitcoin, la blockchain et les cryptomonnaies. Elle est base Prague, en Rpublique tchque et Bradenton, en Floride, aux tats-Unis do elle fournit du matriel et des services dans le monde entier. ce jour, lentreprise affiche plus 15 137 guichets automatiques (abrgs BATM en anglais) pour bitcoins vendus dans plus de 149 pays travers le monde. Selon les dclarations de lentreprise, ces guichets automatiques prennent en charge plus de 180 monnaies fiat. Ces guichets automatiques Bitcoin sont donc achets et disposs divers endroits par des tiers pour permettre aux gens dchanger des bitcoins contre dautres devises et vice versa. Pour fonctionner, les propritaires des machines connectent leurs BATM un serveur dapplication cryptographique (CAS) que General Bytes grait pour eux jusque-l. Une chose noter toutefois est que ces BATM offrent une option qui permet aux clients de tlcharger des vidos du terminal vers le CAS en utilisant un mcanisme connu sous le nom dinterface de service matre.

Comment les guichets automatiques pour bitcoins de GENERAL BYTES ont-ils t pirats ?

Dans la nuit du vendredi 17 au samedi 18, un attaquant a identifi une faille dans linterface de service matre utilise par les guichets automatiques Bitcoin pour tlcharger des vidos sur le serveur. Lattaquant a scann lespace dadressage IP de lhbergement cloud de Digital Ocean (le fournisseur dhbergement cloud recommand par GENERAL BYTES) et identifi les services CAS en cours dexcution sur les ports 7741, y compris le service cloud de GENERAL BYTES et dautres oprateurs ATM GB excutant leurs serveurs sur Digital Ocean. En utilisant cette faille, lattaquant a tlcharg distance une application Java via linterface de service matre utilise par les terminaux pour tlcharger des vidos et a pu lexcuter en utilisant les privilges dutilisateur du BATM. Le serveur dapplications tait, par dfaut, configur pour dmarrer les applications dans son dossier de dploiement.

Une fois lapplication malveillante excute sur un serveur, le tiers malveillant pouvait maintenant effectuer les tches suivantes :

  • accder la base de donnes ;
  • lire et dchiffrer les cls dAPI pour accder aux fonds dans les portefeuilles chauds et les changes ;
  • envoyer des fonds partir de portefeuilles chauds ;
  • tlcharger les noms dutilisateur et leurs hachages de mot de passe et dsactiver lauthentification deux facteurs ;
  • accder aux journaux dvnements du terminal et de rechercher toute instance o les clients ont scann des cls prives au guichet automatique. Les anciennes versions du logiciel ATM enregistraient ces informations.

Avec tous ces privilges au bout des doigts, lattaquant a russi envoyer des fonds partir des hot wallets des utilisateurs et au moins 56 Bitcoins ont t vols avant que GENERAL BYTES saperoive de quoi que ce soit. Nous prcisons quun hot wallet permet de stocker des devises numriques en ligne et dy accder partir dun smartphone, dun ordinateur ou dune tablette connects internet. Sil est pratique utiliser et facile daccs, ce type de wallet contrl par une tierce partie reste vulnrable tous les types de piratages. GENERAL BYTES explique quaprs avoir dcouvert le forfait, toute son quipe  a travaill 24 heures sur 24 pour collecter toutes les donnes concernant la faille de scurit et travaille en permanence pour rsoudre tous les cas afin daider les clients se remettre en ligne et continuer exploiter leurs guichets automatiques ds que possible . Le patch a t publi dans les 15 heures aprs la survenue du piratage.

Les mesures prises par GENERAL BYTES pour viter de tels incidents lavenir

Estimant que cela est avantageux pour tout le monde, GENERAL BYTES a annonc aprs le piratage quelle ne grera plus les CAS au nom des clients. En termes simple, cela signifie que lentreprise ferme son service cloud et demande ses clients de grer leurs guichets automatiques laide de leurs propres serveurs autonomes. Des instructions et des conseils sur la migration ont t fournis aux clients par l’entreprise. GENERAL BYTES a galement annonc quelle est en train de collecter des donnes auprs des clients pour valider toutes les pertes lies au piratage. Paralllement, elle continue de mener une enqute interne et de cooprer avec les autorits pour tenter didentifier lauteur du forfait. En outre, pour viter quune telle situation se reproduise, GENERAL BYTES envisage deffectuer ds que possible plusieurs audits de scurit indpendants de ses produits par diffrentes entreprises en plus de ceux mens depuis 2021. Sil est au moins une chose bonne dans cette affaire, cest que lattaque a permis au fabricant des BATM de voir limportance davoir divers audits mens par plusieurs entreprises.

Encore une fois, cet incident vient mettre en lumire les risques lis au stockage des cryptomonnaies dans des portefeuilles accessibles sur Internet, notamment les hot wallets. Lan dernier, au mois daot, on se souvient encore de lattaque qui a cibl environ 8000 portefeuilles de lcosystme Solana et fait perdre des millions en cryptomonnaies. Pour viter ces risques de piratage, il est gnralement conseill de stocker ses cryptomonnaies dans des cold wallets (ou portefeuilles froids en franais). Les cold wallets sont des solutions de stockage froid (cold storage) des cls prives, cest–dire hors de tout accs direct Internet. Cette conservation a le mrite de rduire la surface dattaque et donc le risque de vol par piratage informatique. Mais dans le cas de GENERAL BYTES, cest une obligation pour le client de connecter le terminal de son BATM aux hot wallets afin que les utilisateurs puissent effectuer leurs transactions.

Source : General Bytes

Et vous ?

Quels commentaires faites-vous de lattaque qui a permis de drober 56 bitcoins aux utilisateurs via ces guichets automatiques pour bitcoins ?

Avez-vous dj eu recours un BATM pour retirer de largent ? Le trouvez-vous pratique ?

Pensez-vous que ces attaques pourraient dissuader les utilisateurs de continuer utiliser les BATM en gnral et ceux de GENERAL BYTES en particulier ?

Voir aussi

Wormhole se fait voler 320 millions de dollars dther et propose aux hackers une prime de 10 millions de dollars, en change des fonds drobs et des dtails sur la vulnrabilit exploite

Un expert en cyberscurit reoit 2 millions de dollars pour avoir corrig une faille majeure sur Optimism qui aurait permis une cration illgale et continue de jetons ETH

Qubit Finance se fait voler 80 millions de dollars en crypto et propose une prime de 250 000 dollars au hacker, en change des fonds vols

Un hacker a vol plus de 600 millions de dollars Ronin, la blockchain derrire le jeu NFT Axie Infinity, ce qui en fait la plus grande attaque contre une plateforme de finance dcentralise

Lcosystme Solana victime dun piratage qui siphonne 8000 portefeuilles dynamiques des millions en cryptomonnaies, lattaque affecte les portefeuilles connects Internet sur iOS et Android



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.