Bien que le marché crypto soit en proie à une baisse, pour voler des Bitcoins, les hackeurs ne manquent jamais d’ingéniosité. L’entreprise General Bytes là apprit à ses dépens puisque ses distributeurs automatiques de Bitcoin ont fait l’objet d’un piratage à la suite d’une faille dite “zero-day”.
Des distributeurs automatiques de Bitcoin (BTC) siphonnés
Les wallets cryptos installés sur smartphone ou navigateur ne sont pas les seuls à subir des tentatives de piratage.
Jeudi dernier, le fabricant des guichets automatiques Bitcoin General bytes a connu une cyberattaque organisée. La faille a permis à l’attaquant de siphonner les comptes des utilisateurs. Pour arriver à ses fins, le hackeur s’est attribué le rôle d’administrateur dans le but de rediriger les dépôts de bitcoin et d’autres cryptomonnaies vers une adresse de portefeuille tierce.
En effet, outre la possibilité de pouvoir retirer du cash contre ses cryptomonnaies, les distributeurs automatiques permettent également de déposer des cryptos sur un compte. Ainsi, plusieurs personnes ont eu la mauvaise surprise de ne rien recevoir sur leur portefeuille à la suite d’un dépôt de cryptomonnaie.
Pour le moment, General Bytes n’a pas communiqué sur le montant du préjudice lié au piratage. Néanmoins, la société a révélé le mode opératoire des hackeurs dans une déclaration.
Une faille zero-day sur des ATM Bitcoin profite aux hackeurs
Pour ce faire, le pirate informatique a exploité une faille zero-day sur les distributeurs automatiques de l’entreprise. Dans le secteur de la cybersécurité , une faille zero-day est définit comme une vulnérabilité inconnue aux yeux du développeur. L’entreprise à l’origine du produit ou du logiciel découvre généralement l’existence de la vulnérabilité une fois la cyberattaque effectuée, et par conséquent trop tard...
Dans le cas des distributeurs automatiques de Bitcoin General bytes, les assaillants auraient profités d’un accès au serveur “Crypto Application Server” (CAS) de l'entreprise – un serveur sensible puisque celui-ci gère l’ensemble des transactions du distributeur automatique. Les flux d’informations concernent notamment l’achat, la vente et les échanges de cryptos effectués le logiciel du guichet automatique.
Les équipes de sécurité General bytes estiment que cela a été possible, car les hackers ont trouvé le moyen d’obtenir les ports TCP des serveurs hébergés dans l’entreprise.
"L'e hackeur a pu créer un utilisateur administrateur à distance via l'interface d'administration CAS au travers d'un appel d'URL sur la page utilisée pour l'installation par défaut sur le serveur, et ainsi créer le premier utilisateur d'administration."explique les équipes de sécurité General bytes.
En utilisant ce procédé, le hackeur a pu s’auto-attribuer le rôle d’admin. Une fois le rôle “suprême” obtenu, le pirate informatique a pu modifier les adresses de réception afin d’y faire transiter les cryptomonnaies déposées sur les ATM.
Suite à cette attaque, l’entreprise a averti ses clients afin qu’ils n’utilisent plus les guichets jusqu’à nouvel ordre.
Bien que General Bytes fasse partie des plus gros fournisseurs d’ATM encadré par une sécurité accrue, le constructeur de guichet n’est pas épargné par ce type d’attaque. Avec plus 9 000 guichets automatiques dans plus de 120 pays, on imagine que la faille présente depuis la mise à jour du 31 mai 2022 a dû coûter cher à plusieurs utilisateurs.