کمپانی General Bytes که در زمینه خودپردازهای ارزهای دیجیتال فعالیت داره ، اعلام کرده که هکرها تونستن از طریق یه آسیب پذیری زیرودی در پلتفرم مدیریت BATM ، ارزهای دیچیتال این شرکت و مشتریهاش رو به سرقت ببرن.
دستگاههای خودپرداز این شرکت امکان خرید و فروش 40 ارز دیجیتال رو برای مشتریها فراهم میکنن. شکل زیر میزان توزیع این دستگاهها در سراسر دنیا رو نشون میده:
هکرها از طریق یه آسیب پذیری زیرودی به شناسه BATM-4780 تونستن یه برنامه جاوایی رو از راه دور و از طریق رابط master service روی دستگاه آپلود کنن و با امتیاز کاربر batm اجرا کردن.
این شرکت اعلام کرده که مهاجمین IPهای سرویس هاستینگ ابری Digital Ocean اسکن میکنن و سرویس های Crypto Application Server روی پورت 7741 از جمله سرویس های General Bytes Cloud و سایر خودپردازهای این شرکت که روی Digital Ocean اجرا میشن ، شناسایی میکنن.
بعد از آپلود برنامه جاوایی، مهاجمین امکان :
- دسترسی به دیتابیس دستگاه
- دسترسی و رمزگشایی API keyهای مورد استفاده برای دسترسی به وجوه کیف های پول و صرافی ها
- ارسال وجوه از hot walletها
- امکان دانلود نامهای کاربری و هش های پسوردها و همچنین خاموش کردن 2FA
- دسترسی به لاگهای ترمینال دستگاه و اسکن کلید های خصوصی مشتریان. دستگاههای قدیمی این اطلاعات رو لاگ میکردن.
این شرکت اعلام کرده که سرویس ابری و مشتریاش در طی این حمله دچار نقض شدن. همچنین یسری آدرس از کیف پول مهاجمین قرار داده که نشون میده مهاجمین 17 مارس ، 26 اسفند1401، شروع به سرقت ارزهای دیجیتال کردن. آدرس بیت کوینشون مقدار 56.28570959 بیت کوین، معادل 1,589,000 دلار و آدرس اتریومشون حاوی 21.79436191 اتریوم معادل 39,000 دلار هستش.
مهاجمین از Uniswap برای تبدیل اتریوم به USDT استفاده کردن و کیف پول بیت کوینشون هنور حاوی ارزهای سرقت شده هستش.
این شرکت اعلام کرده که هر چه سریعتر بروزرسانی های امنیتی برای این دستگاهها رو اعمال کنن.
این شرکت اعلام کرده که سرویس ابریش رو هم متوقف میکنه. همچنین اعلام کرده که کسایی که CAS مستقل خودشون رو دارن ، اونو پشت فایروال یا VPN قرار بدن.
نکته ای که در این خصوص هستش اینه که این سیستمها از سال 2021 ، چندین بار ارزیابی امنیتی شدن و هیچ کدومشون این آسیب پذیری رو شناسایی نکردن.
نحوه کشف دستگاههای آسیب دیده:
بررسی فایلهای لاگ master.log و admin.log برای فاصله زمانی مشکوک به پاک شدن توسط مهاجمین.
همچنین برنامه جاوایی در فولدر زیر قرار میگیره:
1 |
/batm/app/admin/standalone/deployments/ |
این برنامه ها با نامهای تصادفی و با فرمت .war و .war.deployed در دستگاه ها مستقر میشن. نام فایلها برای هر قربانی متفاوت هستش.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
root@batmserver:/batm# ls -la /batm/app/admin/standalone/deployments/ total 148352 drwx------ 2 batm batm 4096 Mar 17 23:53 . drwx------ 8 batm batm 4096 Mar 10 12:49 .. -rw------- 1 batm batm 69125138 Mar 10 12:47 batm_server_admin.war -rw-r--r-- 1 batm batm 21 Mar 10 12:47 batm_server_admin.war.deployed -rw-r--r-- 1 batm batm 5818 Mar 17 23:53 hvqyhl.war -rw-r--r-- 1 batm batm 10 Mar 17 23:53 hvqyhl.war.deployed -rw------- 1 batm batm 1007502 Jul 15 2019 mysql-connector-java-5.1.47.jar -rw-r--r-- 1 batm batm 31 Jul 15 2019 mysql-connector-java-5.1.47.jar.deployed -rw-r--r-- 1 batm batm 10 Mar 17 22:30 nheyww.war.undeployed -rw-r--r-- 1 batm batm 10 Mar 17 22:33 nsumys.war.undeployed -rw-r--r-- 1 batm batm 10 Mar 17 22:38 qosxtf.war.undeployed -rw------- 1 batm batm 8888 Jul 2 2019 README.txt -rw------- 1 batm batm 81691033 Mar 10 12:49 server_admin_api.war -rw-r--r-- 1 batm batm 20 Mar 10 12:49 server_admin_api.war.deployed -rw-r--r-- 1 batm batm 10 Mar 17 23:07 txnotd.war.undeployed -rw-r--r-- 1 batm batm 10 Mar 17 22:43 uabcxo.war.undeployed -rw-r--r-- 1 batm batm 10 Mar 17 22:36 varwda.war.undeployed -rw-r--r-- 1 batm batm 10 Mar 17 22:34 wgzooh.war.undeployed -rw-r--r-- 1 batm batm 10 Mar 17 22:37 wljtmq.war.undeployed root@batmserver:/batm# |
دستگاههایی که نشونه هایی از نقض ندارن باید API keyها و پسوردهای CAS و پسوردهای مشتریها رو بازیابی کنن.
آدرسهای ارزهای دیجتالی که در این حمله مورد استفاده قرار گرفتن:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 |
ADA = 0x7A0E7D41658F409C11288E0a2988406f2186A474 AQUA = 0x7A0E7D41658F409C11288E0a2988406f2186A474 ANT = 0xD5173d215551538cebE79C4e40A4C54Fb751DD83 BAT = 0x3d1451bF188511ea3e1CFdf45288fD53B16FE17E BCH = 0xD5173d215551538cebE79C4e40A4C54Fb751DD83 BTBS = 0xD5173d215551538cebE79C4e40A4C54Fb751DD83 BTC = bc1qfa8pryacrjuzp9287zc2ufz5n0hdthff0av440 BTX = 0x7A0E7D41658F409C11288E0a2988406f2186A474 BUSD = 0x7A0E7D41658F409C11288E0a2988406f2186A474 DAI = 0x7A0E7D41658F409C11288E0a2988406f2186A474 BIZZ = 0xAE0aC391b8361B5Fc1aF657703779886a7898497 DASH = Xi4GstuqKFTRo3WB6gFpPnB6jiWtLSHJDj DGB = dgb1qgea3hzw62zl6req06k708swtv5xc53sdp85jzn DOGE = DN1bKoV7BbuYBeysnYNT8EFj8BGTSeyLCc ETC = 0x8A9344be2BA8DeAA2862EAb0Aab20C7cC36c432a ETH = 0xD5173d215551538cebE79C4e40A4C54Fb751DD83 EGLD = erd1w7n54rlzrxe6jl8xpmh0de4g9jhc028zeppsjdme9g45gsnhw53s4vhgsg EURS = 0xAE0aC391b8361B5Fc1aF657703779886a7898497 FTO = 0xAE0aC391b8361B5Fc1aF657703779886a7898497 GRS = grs1qhckdwm8dqt8pfdu2d6e649qs5jrqn6sslzlyhw GQ = 0xAE0aC391b8361B5Fc1aF657703779886a7898497 HATCH = 0xAE0aC391b8361B5Fc1aF657703779886a7898497 HT = 0xAE0aC391b8361B5Fc1aF657703779886a7898497 JOB = 0xAE0aC391b8361B5Fc1aF657703779886a7898497 LMY = 0xAE0aC391b8361B5Fc1aF657703779886a7898497 LTC = ltc1qvd5usunrpgsynyeey9n46xucy7emk62ycljl0t MKR = 0xAE0aC391b8361B5Fc1aF657703779886a7898497 NANO = nano_1rrqx4esqbfuci7whzkzms7u4kib8ojcnkaokceh9fbr79sa4a36pmqgnxd4 NXT = 0xAE0aC391b8361B5Fc1aF657703779886a7898497 PAXG = 0xAE0aC391b8361B5Fc1aF657703779886a7898497 REP = 0xAE0aC391b8361B5Fc1aF657703779886a7898497 SHIB = 0xAE0aC391b8361B5Fc1aF657703779886a7898497 TRX = TDjFvfcysNGaxnX7pzpvC6xfSmCC5u8qgr USDS = 0xAE0aC391b8361B5Fc1aF657703779886a7898497 USDC = 0xAE0aC391b8361B5Fc1aF657703779886a7898497 USDT = 0xAE0aC391b8361B5Fc1aF657703779886a7898497 USDTTRON = TDjFvfcysNGaxnX7pzpvC6xfSmCC5u8qgr VIA = via1quynq6wweqz0pk9wygv82qg83tk5zu47yqweht5 XRP = rDkoXVLChaDvc8SHFoTNZEDzcbtFNwF977 ZPAE = 0xAE0aC391b8361B5Fc1aF657703779886a7898497 XMR = 426FQDKF9rbHZLbNgisRKU2m2CVfnoNpFL7ZsAoDQBHP1eRDUKaj64zDtnFychJqSg1W6eskoFqdkG4gX8BSvWvkQr8oxVc |
آدرسهای IP مهاجمین:
1 2 3 4 5 |
123.204.4.202 172.104.237.25 172.104.237.25 |