Après le récent hack sur la blockchain Solana, c’est un nouvel acteur de l’écosystème crypto qui est touché. L’entreprise General Bytes qui cherche à démocratiser l’achat et la vente de Bitcoin au moyen de guichets physiques a vu ses serveurs corrompus en fin de semaine dernière.
Les pirates profitent d’un bug zero-day !
Ce jeudi, les serveurs du distributeur automatiques de Bitcoin General Bytes ont été mis à mal par une attaque dite “zero day”. Une attaque qui aurait permis aux hackers de s’auto-attribuer le rôle d’administrateur. Ce nouveau rôle en poche, le ou les hackers en auraient profité pour transférer l’ensemble des dépôts vers l’adresse de leur portefeuille. Dans un communiqué, l’entreprise révèle que la vulnérabilité est présente depuis la mise à jour du protocole par le pirate, jeudi dernier.
Pour l’heure, la société n’a pas révélé le montant total dérobé ni le nombre de guichets compromis par ce piratage. Quoi qu’il en soit, General Bytes travaille déjà avec les opérateurs de guichets automatiques, afin que ceux-ci soient mis à jour le plus rapidement possible. L’entreprise a d’ailleurs expressément demandé à ses clients de ne plus utiliser les terminaux jusqu’à la mise à jour. Notamment pour les clients utilisant la version logicielle en date du 31 mai 2022. Il a aussi été conseillé aux clients de modifier les paramètres de leur pare-feu. Et pour sécuriser le protocole, de ne rendre l’interface d’administration uniquement accessible que depuis une ou plusieurs adresses IP préalablement autorisées.
Rappelons que la société exploite près de 9 000 guichets automatiques. General Bytes, dont le siège social est situé à Prague, est présent dans plus de 120 pays du monde. Les guichets proposés par l’entreprise permettent aux clients finaux d’interagir avec plus de 60 projets cryptos différents. Dont les principaux comme Bitcoin, Litecoin ou encore Ethereum.
Comment les hackers ont procédé ?
Sur le blog de la plateforme, l’équipe de sécurité de General Bytes détaille comment les hackers ont réussi à mener cette attaque. Un hack qui a été rendu possible après l’accès au Crypto Application Server (CAS) de la société. Le CAS est le serveur qui gère les protocoles autour des opérations sur les guichets automatiques. Des opérations qui incluent l’achat, la vente ou l’échange d’actifs numériques et même le type de tokens pris en charge.
Si l’investigation n’est pas encore terminée autour de ce piratage, les équipes de sécurité estiment que les hackers ont réussi à scanner les serveurs sur un ou plusieurs ports TCP. Y compris les serveurs hébergés sur le service cloud de l’entreprise. C’est par cette manœuvre qu’ils auraient réussi à s’attribuer le rôle d’administrateur par défaut. Pour finaliser l’arnaque, il ne manquait plus qu’à modifier les paramètres d’achat et de vente afin que chaque transaction transitant par le boitier physique ATM soit transférée vers l’adresse de portefeuille du ou des hackers. Comme l’explique la communication de la plateforme :
Le pirate a pu créer un utilisateur administrateur à distance via l’interface d’administration du CAS via un appel d’URL sur la page qui est utilisée pour l’installation par défaut sur le serveur et la création du premier utilisateur d’administration.
General Bytes précise que plusieurs audits de sécurité avaient été réalisés depuis sa création en 2020. Mais aucun d’entre eux n’avait pu identifier cette vulnérabilité.
Lire aussi : Enquête sur les arnaques dans la sphère crypto !
Partager
Romain Boyer
Rédacteur
