Злоумышленники нашли уязвимость в системе, завладели правами администратора на сервере и настроили отправку поступающих в аппараты средств на адрес своего кошелька.
General Bytes, имеющая офисы в Чехии и США, является оператором 8827 криптоматов в 120 странах мира. Эти устройства позволяют покупать и продавать более 40 различных криптовалют, и контролируются удаленным CAS-сервером (Crypto Application Server), который управляет работой банкомата, проводит операции с поддерживаемыми криптовалютами, а также выполняет покупку и продажу на биржах.
Согласно бюллетеню безопасности General Bytes, опубликованному 18 августа 2022 года, атаки на банкоматы проводились с использованием 0-day уязвимости в CAS-севере компании.
Злоумышленник мог удаленно создать пользователя-администратора через административный интерфейс CAS (посредством вызова URL-адреса на странице, которая используется для установки по умолчанию и создания первого пользователя-администратора), — гласит отчёт. — Эта уязвимость присутствует в CAS, начиная с версии 20201208.
Компания призвала владельцев аппаратов обновить настройки системы и предоставил подробную инструкцию на сайте. Сумма украденных средств не раскрывается.