Krypto-Geldautomaten von General Bytes gehackt

Cybergangster rauben Bitcoin-Bankautomaten aus

Hacker haben eine Sicherheitslücke in Bitcoin-Geldautomaten von General Bytes ausgenutzt, um Kryptowährung von Kunden zu stehlen.
Von 
CSO | 24. August 2022 16:00 Uhr
Cyberkriminelle haben sich in den Server des Bitcoin-Geldautomatenherstellers General Bytes gehackt und Kryptogeld gestohlen.
Cyberkriminelle haben sich in den Server des Bitcoin-Geldautomatenherstellers General Bytes gehackt und Kryptogeld gestohlen.
Foto: thanun vongsuravanich - shutterstock.com

Im Vergleich zu herkömmlichen Bankautomaten galten Bitcoin-Geldautomaten bisher als sicher, da dort keine physischen Währungen verwahrt werden. Dass das ein Trugschluss ist, hat nun ein Cyberangriff auf den Bitcoin-Bankomatenhersteller General Bytes gezeigt. Cyberkriminelle haben vor kurzem eine Zero-Day-Schwachstelle im Server des Unternehmens missbraucht und Kryptogeld der Kunden gestohlen. General Bytes bestätigte den Angriff am 18. August. Doch wie viel Geld die Täter abzweigen konnten und wie viele Geldautomaten betroffen sind, wurde nicht bekannt gegeben.

Zugriff auf Geräteverwaltung

Das Unternehmen mit Hauptsitz in Prag betreibt rund 8.800 Bitcoin-Geldautomaten in mehr als 120 Ländern. Kunden können darüber mehr als 40 verschiede Kryptowährungen kaufen oder verkaufen. Die Geräte werden von einem entfernten Crypto Application Server (CAS) gesteuert, der den gesamten Betrieb verwaltet. Nach den Angaben von General Bytes hackten sich die Angreifer in die CAS-Verwaltungsschnittstelle und machten sich selbst zum Standardadministrator. Auf diese Weise konnten sie die Einstellungen ändern, so dass jegliches Geld an ihre Wallet-Adresse überwiesen wurde.

General Bytes geht davon aus, dass die Hacker gezielt nach ungeschützten Servern gesucht haben, die auf den TCP-Ports 7777 oder 443 laufen, darunter auch Server, die auf dem eigenen Cloud-Service von General Bytes gehostet werden. Von dort aus hätten die Angreifer auf die CAS-Schnittstelle zugegriffen und den standardmäßigen Administrator in "gb" umbenannt, so das Unternehmen. Daraufhin seien die Kauf- und Verkaufseinstellungen so manipuliert worden, dass alle Kryptowährungen, die der Bitcoin-Automat erhielt, stattdessen an die Wallet-Adresse der Cybergangster übertragen wurden.

Das sollten General-Bytes-Kunden beachten

Der Bitcoin-Automatenbetreiber weist seine Kunden daraufhin, dieATM-Server von General Bytes nicht ohne die Patch-Versionen 20220725.22 oder 20220531.38 zu verwenden. Zudem sollten sie ihre Server-Firewall-Einstellungen so ändern, dass der Zugriff auf die CAS-Admin-Oberfläche nur von autorisierten IP-Adressen möglich ist. General Bytes stellte zudem eine Checkliste mit Schritten bereit, die an den Geräten durchgeführt werden müssen, bevor sie wieder in Betrieb genommen werden.

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.