Des pirates vident les guichets automatiques Bitcoin de 1,5 million de dollars en exploitant une faille 0-day
Des pirates informatiques vident les guichets automatiques pour bitcoins de 1,5 million de dollars en exploitant une faille 0-day
GENERAL BYTES, le fabricant des guichets automatiques, ferme son service cloud à la suite du forfait
GENERAL BYTES, le fabricant de guichets automatiques pour bitcoins et autres cryptomonnaies vient d’être victime d’un piratage qui va coûter environ 1,5 million de dollars à ses clients. En effet, le 18 mars dernier, des pirates ont réussi à exploiter une faille 0-day pour s’introduire dans les portefeuilles de plusieurs clients à partir des guichets automatiques de l’entreprise installés à Prague, en République tchèque et en ont extrait 56 bitcoins dont la valeur unitaire se négocie actuellement à un peu plus de 27 800 dollars. En plus de mettre à mal la confiance de l’entreprise auprès de ces clients, ce forfait laisse de nombreux utilisateurs dans une situation difficile.
Comment fonctionnent les guichets automatiques pour bitcoins de GENERAL BYTES ?
GENERAL BYTES se présente comme le plus grand fabricant mondial de guichets automatiques pour le bitcoin, la blockchain et les cryptomonnaies. Elle est basée à Prague, en République tchèque et à Bradenton, en Floride, aux États-Unis d’où elle fournit du matériel et des services dans le monde entier. À ce jour, l’entreprise affiche plus 15 137 guichets automatiques (abrégés BATM en anglais) pour bitcoins vendus dans plus de 149 pays à travers le monde. Selon les déclarations de l’entreprise, ces guichets automatiques prennent en charge plus de 180 monnaies fiat. Ces guichets automatiques Bitcoin sont donc achetés et disposés à divers endroits par des tiers pour permettre aux gens d’échanger des bitcoins contre d’autres devises et vice versa. Pour fonctionner, les propriétaires des machines connectent leurs BATM à un serveur d’application cryptographique (CAS) que General Bytes gérait pour eux jusque-là. Une chose à noter toutefois est que ces BATM offrent une option qui permet aux clients de télécharger des vidéos du terminal vers le CAS en utilisant un mécanisme connu sous le nom d’interface de service maître.
Comment les guichets automatiques pour bitcoins de GENERAL BYTES ont-ils été piratés ?
Dans la nuit du vendredi 17 au samedi 18, un attaquant a identifié une faille dans l’interface de service maître utilisée par les guichets automatiques Bitcoin pour télécharger des vidéos sur le serveur. L’attaquant a scanné l’espace d’adressage IP de l’hébergement cloud de Digital Ocean (le fournisseur d’hébergement cloud recommandé par GENERAL BYTES) et identifié les services CAS en cours d’exécution sur les ports 7741, y compris le service cloud de GENERAL BYTES et d’autres opérateurs ATM GB exécutant leurs serveurs sur Digital Ocean. En utilisant cette faille, l’attaquant a téléchargé à distance une application Java via l’interface de service maître utilisée par les terminaux pour télécharger des vidéos et a pu l’exécuter en utilisant les privilèges d’utilisateur du BATM. Le serveur d’applications était, par défaut, configuré pour démarrer les applications dans son dossier de déploiement.
Une fois l’application malveillante exécutée sur un serveur, le tiers malveillant pouvait maintenant effectuer les tâches suivantes :
- accéder à la base de données ;
- lire et déchiffrer les clés d’API pour accéder aux fonds dans les portefeuilles chauds et les échanges ;
- envoyer des fonds à partir de portefeuilles chauds ;
- télécharger les noms d’utilisateur et leurs hachages de mot de passe et désactiver l’authentification à deux facteurs ;
- accéder aux journaux d’événements du terminal et de rechercher toute instance où les clients ont scanné des clés privées au guichet automatique. Les anciennes versions du logiciel ATM enregistraient ces informations.
Avec tous ces privilèges au bout des doigts, l’attaquant a réussi à envoyer des fonds à partir des hot wallets des utilisateurs et au moins 56 Bitcoins ont été volés avant que GENERAL BYTES s’aperçoive de quoi que ce soit. Nous précisons qu’un hot wallet permet de stocker des devises numériques en ligne et d’y accéder à partir d’un smartphone, d’un ordinateur ou d’une tablette connectés à internet. S’il est pratique à utiliser et facile d’accès, ce type de wallet contrôlé par une tierce partie reste vulnérable à tous les types de piratages. GENERAL BYTES explique qu’après avoir découvert le forfait, toute son équipe « a travaillé 24 heures sur 24 pour collecter toutes les données concernant la faille de sécurité et travaille en permanence pour résoudre tous les cas afin d’aider les clients à se remettre en ligne et à continuer à exploiter leurs guichets automatiques dès que possible ». Le patch a été publié dans les 15 heures après la survenue du piratage.
Les mesures prises par GENERAL BYTES pour éviter de tels incidents à l’avenir
Estimant que cela est avantageux pour tout le monde, GENERAL BYTES a annoncé après le piratage qu’elle ne gérera plus les CAS au nom des clients. En termes simple, cela signifie que l’entreprise ferme son service cloud et demande à ses clients de gérer leurs guichets automatiques à l’aide de leurs propres serveurs autonomes. Des instructions et des conseils sur la migration ont été fournis aux clients par l'entreprise. GENERAL BYTES a également annoncé qu’elle est en train de collecter des données auprès des clients pour valider toutes les pertes liées au piratage. Parallèlement, elle continue de mener une enquête interne et de coopérer avec les autorités pour tenter d’identifier l’auteur du forfait. En outre, pour éviter qu’une telle situation se reproduise, GENERAL BYTES envisage d’effectuer dès que possible plusieurs audits de sécurité indépendants de ses produits par différentes entreprises en plus de ceux menés depuis 2021. S’il est au moins une chose bonne dans cette affaire, c’est que l’attaque a permis au fabricant des BATM de voir l’importance d’avoir divers audits menés par plusieurs entreprises.
Encore une fois, cet incident vient mettre en lumière les risques liés au stockage des cryptomonnaies dans des portefeuilles accessibles sur Internet, notamment les hot wallets. L’an dernier, au mois d’août, on se souvient encore de l’attaque qui a ciblé environ 8000 portefeuilles de l’écosystème Solana et fait perdre des millions en cryptomonnaies. Pour éviter ces risques de piratage, il est généralement conseillé de stocker ses cryptomonnaies dans des cold wallets (ou portefeuilles froids en français). Les cold wallets sont des solutions de stockage à froid (cold storage) des clés privées, c’est-à-dire hors de tout accès direct à Internet. Cette conservation a le mérite de réduire la surface d’attaque et donc le risque de vol par piratage informatique. Mais dans le cas de GENERAL BYTES, c’est une obligation pour le client de connecter le terminal de son BATM aux hot wallets afin que les utilisateurs puissent effectuer leurs transactions.
Source : General Bytes
Et vous ?
Quels commentaires faites-vous de l’attaque qui a permis de dérober 56 bitcoins aux utilisateurs via ces guichets automatiques pour bitcoins ?
Voir aussi
Répondre avec citation
Envoyé par Fleur en plastique
Partager