Des pirates inconnus ont réussi à voler 56 bitcoins, d’une valeur d’environ 1,5 million de dollars, à des guichets automatiques spécialisés conçus pour distribuer de la crypto-monnaie. Le pire, c’est que les fonds volés appartenaient également en partie aux clients du guichet automatique.
Selon le rapport, les guichets automatiques fonctionnent en permettant aux clients de se connecter (s’ouvre dans un nouvel onglet) à un service d’application de chiffrement (CAS) géré par eux-mêmes ou par l’entreprise. Cependant, le guichet automatique permettait également aux clients de télécharger des vidéos du terminal vers le CAS – c’est apparemment là que se cachait le bogue.
Une vulnérabilité zero-day jusque-là inconnue a permis aux acteurs de la menace de télécharger et d’exécuter une application Java malveillante, et de l’utiliser pour vider les CAS exploités à la fois par l’entreprise et ses clients.
Garder les clients à flot
General Bytes, la société à l’origine des distributeurs automatiques de billets, a résolu le problème 15 heures après avoir été alertée de la faille. Cependant, la seule façon de récupérer les fonds est que la police trouve et arrête les auteurs, puis confisque et restitue la crypto-monnaie volée – ce qui est évidemment plus facile à dire qu’à faire.
« La nuit du 17 au 18 mars a été la période la plus difficile pour nous et certains de nos clients. Toute l’équipe a travaillé 24 heures sur 24 pour collecter toutes les données concernant la faille de sécurité et travaille en permanence pour résoudre tous les cas afin d’aider les clients à se remettre en ligne et à continuer à faire fonctionner leurs guichets automatiques dès que possible », a écrit la société dans une annonce.
« Nous nous excusons pour ce qui s’est passé et allons revoir toutes nos procédures de sécurité et faisons actuellement tout ce que nous pouvons pour maintenir nos clients concernés à flot. »
En téléchargeant et en exécutant le logiciel malveillant, l’attaquant a eu accès à la base de données du guichet automatique, a été autorisé à lire et à déchiffrer les clés API codées nécessaires pour accéder aux fonds, et a finalement réussi à retirer la crypto dans un portefeuille séparé. De plus, les attaquants ont réussi à télécharger des noms d’utilisateur et des hachages de mots de passe, à désactiver l’authentification multifacteur (MFA) et à accéder aux journaux d’événements du terminal pour rechercher les clés privées des clients.
L’une des choses que General Bytes change, à l’avenir, est qu’il ne gérera plus les CAS pour ses clients – ils devront le faire eux-mêmes (s’ils décident de rester du tout).
Par: Ars Technica (s’ouvre dans un nouvel onglet)