Об'єктом пограбування стали банкомати General Bytes, компанії, що має кілька представництв по всьому світу. Ці BATM можуть бути встановлені, наприклад, у магазинах чи інших публічних місцях, щоб дозволити людям обмінювати біткойн на інші валюти й навпаки.

Цікаво Банкопад на Росії: IT-Армія України масово атакує фінансові організації ворога

Що сталося

Клієнти, які встановлюють такі банкомати в себе, підключають BATM до сервера криптографічних додатків (CAS), яким вони можуть керувати. У цьому випадку таким сервером керувала для них General Bytes. З незрозумілих причин апарати пропонують опцію, яка дозволяє завантажувати відео з термінала на CAS за допомогою механізму, відомого як інтерфейс головного сервера.

На вихідних компанія General Bytes виявила, що з CAS, якими вона керує, було виведено біткоїнів на суму понад 1,5 мільйона доларів США. Щоб здійснити крадіжку, невідомий зловмисник скористався раніше невідомою вразливістю, яка дозволила йому використати інтерфейс для завантаження та запуску шкідливого Java-додатка. Потім він викачав з різних гаманців близько 56 BTC.

Після аналізу ситуації компанія каже, що невідомий міг:

  • Отримати доступ до бази даних.
  • Зчитувати та розшифровувати закодовані ключі API, необхідні для доступу до коштів на гаманцях та біржах.
  • Переказувати кошти з гаманця на гаманець.
  • Завантажувати імена користувачів та хеші паролів і вимикати 2FA.
  • Отримувати доступ до журналів подій термінала та шукати випадки, коли клієнти сканували приватні ключі в банкоматі.

General Bytes виправили вразливість через 15 годин після того, як дізналися про неї, але через особливості роботи криптовалют втрати є незворотніми. У 2021 році вона пройшла "численні перевірки безпеки", які не виявили цю вразливість. Тепер компанія каже, що більше не буде керувати CAS від імені клієнтів. Це означає, що власники терміналів повинні будуть самі керувати серверами.