Des pirates inconnus ont compromis les distributeurs automatiques de bitcoins de General Bytes, à Prague, en exploitant une vulnérabilité logicielle intrinsèque des machines pour transférer des cryptomonnaies des comptes des clients vers leurs propres comptes. Les opérateurs de guichets automatiques de General Bytes ont depuis confirmé que 16 000 dollars d’actifs numériques ont été dérobés lors de ce piratage, les spécialistes ont tendance à penser que cela ne fait que commencer et si cette histoire de cyberattaque vous intéresse, voici les détails.

Quelle est cette vulnérabilité des distributeurs automatiques de BTC ?

Dans une annonce faite par General, il est expliqué que des acteurs de la menace encore inconnus ont exploité une importante faille de sécurité dans le système Crypto Application Server (CAS) qui gère à distance ses distributeurs automatiques de bitcoins et de cryptomonnaies.

La société exploite plus de 8 000 de ces machines dans 120 pays, qui permettent aux utilisateurs d’acheter ou de vendre diverses cryptomonnaies. L’avis de sécurité de la société a révélé que les pirates ont adopté une approche à plusieurs niveaux pour l’attaque. Tout d’abord, ils ont découvert la vulnérabilité zero-day de CAS qui est une faille logicielle qui est immédiatement exploitée par les acteurs de la menace avant que les développeurs aient la possibilité de la corriger.

Ensuite, les pirates ont recherché des serveurs exposés via l’internet et le service de cloud computing de General Bytes (GB Cloud). Ce stratagème a finalement permis aux pirates de détourner les cryptomonnaies arrivant aux distributeurs automatiques de bitcoins (BATM) vers leurs cryptoportefeuilles. Si les serveurs CAS avaient été protégés par un pare-feu autorisant uniquement les adresses IP de confiance via les ports 7777 et 443, le hack aurait été déjoué, selon l’avis de sécurité de General Bytes.

distributeur de BTC

Le plan d’action des pirates

Les escrocs cryptographiques ont réussi à tromper l’interface d’administration CAS à distance via une solution de contournement d’appel d’URL sur la page qui leur a permis de se connecter en tant que premier utilisateur administrateur et en plus, cette vulnérabilité est présente dans le logiciel CAS depuis la version 20201208. Les pirates ont passé au peigne fin l’espace d’adresses IP de l’hébergement en nuage Digital Ocean et ont découvert les services CAS fonctionnant sur les ports vulnérables 7777 ou 443. Ils ont ensuite créé un nouvel utilisateur admin par défaut, une organisation et des espaces de terminal, en renommant le nom d’utilisateur admin par défaut en « gb. »

On rapporte aussi que les pirates ont modifié les paramètres cryptographiques d’un certain nombre de machines à double sens et a inséré leur propre adresse de portefeuille dans le paramètre « Adresse de paiement non valide ». Suite à cela, les BATM General Bytes à double sens ont commencé à transférer des cryptomonnaies vers les cryptoportefeuilles des attaquants lorsque les clients envoyaient des paiements invalides aux machines. De plus, une fonction « Aide à l’Ukraine » mise en place quelques jours seulement avant l’incident sur les distributeurs automatiques de cryptomonnaies peut avoir stimulé les attaques. Nous avons raison de penser que le bitcoin est menacé !