Bilinmeyen bilgisayar korsanları, kripto para birimi dağıtmak için tasarlanmış özel ATM’lerden yaklaşık 1,5 milyon dolar değerinde 56 bitcoin çalmayı başardılar. En kötü yanı, çalınan fonların bir kısmının da ATM’nin müşterilerine ait olmasıdır.
Rapora göre ATM’ler müşterilerin internete bağlanmasını sağlayarak çalışıyor. (yeni sekmede açılır) ya kendilerinin ya da şirketin yönettiği bir kripto uygulama hizmetine (CAS) gönderir. Bununla birlikte ATM, müşterilerin terminalden CAS’a video yüklemesine de izin verdi – görünüşe göre hatanın saklandığı yer burası.
Önceden bilinmeyen, sıfırıncı gün güvenlik açığı, tehdit aktörlerinin kötü amaçlı bir Java uygulaması yükleyip çalıştırmasına ve bunu hem şirket hem de müşterileri tarafından yürütülen CASE’leri boşaltmak için kullanmasına olanak tanıyordu.
Müşterileri ayakta tutmak
ATM’lerin arkasındaki şirket General Bytes, kusur konusunda uyarıldıktan 15 saat sonra sorunu ele aldı. Bununla birlikte, parayı geri almanın tek yolu, polisin failleri bulup tutuklamasını sağlamak, ardından çalınan kripto para birimine el koyup iade etmektir – ki bu açıkça söylemesi yapmaktan daha kolay.
“17-18 Mart gecesi bizim ve bazı müşterilerimiz için en zorlu zamandı. Tüm ekip, güvenlik ihlaliyle ilgili tüm verileri toplamak için gece gündüz çalışıyor ve müşterilerin tekrar çevrimiçi olmalarına ve ATM’lerini mümkün olan en kısa sürede çalıştırmaya devam etmelerine yardımcı olmak için tüm vakaları çözmek için sürekli çalışıyor.”
“Yaşananlardan dolayı özür dileriz ve tüm güvenlik prosedürlerimizi gözden geçireceğiz ve şu anda etkilenen müşterilerimizi ayakta tutmak için elimizden gelen her şeyi yapıyoruz.”
Saldırgan, kötü amaçlı yazılımı yükleyip çalıştırarak ATM’nin veritabanına erişim elde etti, paraya erişmek için gereken şifrelenmiş API anahtarlarını okumasına ve şifresini çözmesine izin verildi ve sonunda kriptoyu ayrı bir cüzdana çekmeyi başardı. Saldırganlar ayrıca kullanıcı adlarını ve parola karmalarını indirmeyi, çok faktörlü kimlik doğrulamayı (MFA) kapatmayı ve müşteri özel anahtarlarını taramak için terminal olay günlüklerine erişmeyi başardı.
General Bytes’in ileriye dönük olarak değiştirdiği şeylerden biri, artık müşterileri için CASE’leri yönetmeyecek olmasıdır – bunu kendileri yapmak zorunda kalacaklardır (tamamen kalmaya karar verirlerse).
Aracılığıyla: Ars Teknik (yeni sekmede açılır)