Hay muchos juegos de palabras militares en la historia del sistema operativo.

Unix tiene una gran cantidad de personal conocido como Número mayor, quienes organizan los batallones de dispositivos como unidades de disco, teclados y cámaras web en su sistema.

Microsoft luchó una vez con los aparentemente incompetentes Falla general, a quien se vio regularmente tratando de leer sus discos DOS y fallando.

Linux ha tenido problemas intermitentemente con Coronel Panic, ¿De quién apariencia generalmente es seguido por pérdida de datos, sistemas de archivos potencialmente dañados y una necesidad urgente de apagar y reiniciar su computadora.

Y una empresa checa de criptomonedas no parece estar obteniendo el tipo de confiabilidad que cabría esperar razonablemente de una personalidad llamada Bytes generales.

En realidad, Bytes generales es el nombre de la empresa en sí, un negocio que, lamentablemente, no es ajeno a las intrusiones no deseadas y al acceso no autorizado a los fondos de criptomonedas.

Una vez es desgracia

En agosto de 2022, escribimos cómo General Bytes había víctima caída a un error del lado del servidor en el que los atacantes remotos podían engañar al servidor del cajero automático de un cliente para que les diera acceso a las páginas de configuración "establecer un sistema completamente nuevo".

Si alguna vez ha vuelto a actualizar un iPhone o un dispositivo Android, sabrá que la persona que realiza la configuración original termina con el control del dispositivo, especialmente porque puede configurar al usuario principal y elegir un nuevo código de bloqueo. o contraseña durante el proceso.

Sin embargo, también sabrá que los teléfonos móviles modernos borran a la fuerza el contenido antiguo del dispositivo, incluidos todos los datos del usuario anterior, antes de reinstalar y reconfigurar el sistema operativo, las aplicaciones y la configuración del sistema.

En otras palabras, puede comenzar de nuevo, pero no puede retomar el lugar donde lo dejó el último usuario; de lo contrario, podría usar una actualización del sistema (o una DFU, abreviatura de actualización del firmware del dispositivo, como lo llama Apple) para acceder a los archivos del propietario anterior.

Sin embargo, en el servidor ATM de General Bytes, la ruta de acceso no autorizado que llevó a los atacantes a las pantallas de configuración de "comenzar desde cero" no neutralizó primero ningún dato en el dispositivo infiltrado...

…para que los delincuentes pudieran abusar del proceso de “configurar una nueva cuenta administrativa” del servidor para crear un usuario administrador adicional en un sistema existente.

Dos veces parece un descuido

La última vez, General Bytes sufrió lo que podría llamarse un ataque sin malware, en el que los delincuentes no implantaron ningún código malicioso.

El ataque de 2022 se orquestó simplemente a través de cambios de configuración malévolos, sin tocar el sistema operativo subyacente y el software del servidor.

Esta vez, los atacantes usaron un enfoque más convencional que se basó en un implante: software malicioso, o el malware para abreviar, eso se cargó a través de una laguna de seguridad y luego se usó como lo que podría llamarse un "panel de control alternativo".

En lenguaje sencillo: los delincuentes encontraron un error que les permitió instalar una puerta trasera para poder ingresar sin permiso.

Como lo expresó General Bytes:

El atacante pudo cargar su propia aplicación Java de forma remota a través de la interfaz de servicio maestra utilizada por las terminales para cargar videos y ejecutarla con privilegios de usuario de batm.

No estamos seguros de por qué un cajero automático necesita una opción de carga remota de imágenes y videos, como si fuera una especie de sitio de blogs comunitarios o un servicio de redes sociales...

…pero parece que el sistema Coin ATM Server incluye tal característica, presumiblemente para que los anuncios y otras ofertas especiales puedan promocionarse directamente a los clientes que visitan los cajeros automáticos.

Cargas que no son lo que parecen

Desafortunadamente, cualquier servidor que permita cargas, incluso si provienen de una fuente confiable (o al menos autenticada), debe tener cuidado con varias cosas:

• Las cargas deben escribirse en un área de ensayo en la que no se puedan volver a leer inmediatamente desde el exterior. Esto ayuda a garantizar que los usuarios no confiables no puedan convertir su servidor en un sistema de entrega temporal de contenido no autorizado o inapropiado a través de una URL que parece legítima porque tiene el visto bueno de su marca.
• Las cargas deben ser examinadas para garantizar que coincidan con los tipos de archivos permitidos. Esto ayuda a evitar que los usuarios deshonestos pongan trampas en su área de carga ensuciándola con scripts o programas que luego podrían terminar ejecutándose en el servidor en lugar de simplemente servirse a un visitante posterior.
• Las cargas deben guardarse con los permisos de acceso más restrictivos posibles, para que los archivos corruptos o trampas explosivas no puedan ejecutarse inadvertidamente o incluso accederse desde partes más seguras del sistema.

General Bytes, al parecer, no tomó estas precauciones, con el resultado de que los atacantes pudieron realizar una amplia gama de acciones para destruir la privacidad y las criptomonedas.

Aparentemente, la actividad maliciosa incluía: leer y descifrar códigos de autenticación utilizados para acceder a fondos en carteras e intercambios calientes; enviar fondos desde billeteras calientes; descarga de nombres de usuario y hash de contraseñas; recuperar las claves criptográficas del cliente; apagar 2FA; y acceder a los registros de eventos.

¿Qué hacer?

• Si utiliza sistemas de cajero automático de monedas de General Bytes, leer la empresa informe de incumplimiento, que le indica cómo buscar los llamados IoC (indicadores de compromiso), y qué hacer mientras espera que se publiquen los parches.

Tenga en cuenta que la empresa ha confirmado que tanto los servidores independientes de cajeros automáticos de monedas como sus propios sistemas basados ​​en la nube (en los que paga a General Bytes un impuesto del 0.5 % sobre todas las transacciones a cambio de que ejecuten sus servidores por usted) se vieron afectados.

Curiosamente, General Bytes informa que será "cerrando su servicio en la nube", e insistiendo en que "necesitará instalar su propio servidor independiente". (El informe no da una fecha límite, pero la empresa ya está ofreciendo soporte de migración activamente).

En un giro radical que llevará a la empresa en la dirección opuesta a la mayoría de las demás empresas contemporáneas orientadas a los servicios, General Bytes insiste en que “Es teóricamente (y prácticamente) imposible asegurar un sistema que otorga acceso a múltiples operadores al mismo tiempo donde algunos de ellos son malos actores”.

• Si ha utilizado un cajero automático de General Bytes recientemente, comuníquese con su intercambio o intercambios de criptomonedas para obtener asesoramiento sobre qué hacer y si alguno de sus fondos está en riesgo.

• Si eres un programador que se ocupa de un servicio en línea, ya sea autohospedado o alojado en la nube, lea y preste atención a nuestros consejos anteriores sobre cargas y directorios de carga.

• Si eres un entusiasta de las criptomonedas, guarde la menor cantidad posible de su reserva de criptomonedas en los llamados carteras calientes.

Las billeteras calientes son esencialmente fondos que están listos para operar en cualquier momento (quizás automáticamente) y, por lo general, requieren que confíe sus propias claves criptográficas a otra persona o que transfiera fondos temporalmente a una o más de sus billeteras.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
• Fuente: https://nakedsecurity.sophos.com/2023/03/20/bitcoin-atm-customers-hacked-by-video-upload-that-was-actually-an-app/