Một hacker đã đánh cắp tiền mã hóa tại các máy ATM Bitcoin của công ty General Bytes.
General Bytes xác nhận tiền mã hóa bị đánh cắp từ máy ATM Bitcoin
Vụ hack đã được General Bytes xác nhận vào ngày 18/08. Công ty General Bytes chưa tiết lộ số tiền bị đánh cắp cũng như số máy ATM bị xâm nhập. Tuy nhiên, công ty này đã khẩn trương khuyến cáo các nhà khai thác ATM thực hiện cập nhật phần mềm của họ. Được biết, General Bytes sở hữu và vận hành 8827 máy ATM Bitcoin, nó có thể truy cập ở hơn 120 quốc gia.
Kể từ khi các sửa đổi của tin tặc cập nhật phần mềm Máy chủ ứng dụng crypto (CAS) lên phiên bản 20201208 thì xuất hiện lỗ hổng bảo mật. Công ty này đã kêu gọi khách hàng không sử dụng máy chủ ATM General Bytes đến khi nào công ty cập nhật máy chủ của mình nhằm vá bản phát hành 20220725.22 và 20220531.38 để khách hàng chạy trên 20220531.
Thủ đoạn của nhóm hacker
Theo tiết lộ của nhóm cố vấn bảo mật của General Bytes, hacker đã lấy tiền bằng cách mở một cuộc tấn công lỗ hổng zero-day nhằm giành quyền truy cập vào CAS của công ty, sau đó đánh cắp tiền. Máy chủ CAS có chức năng quản lý toàn bộ hoạt động của máy ATM, trong đó có việc thực hiện mua và bán tiền mã hóa trên các sàn giao dịch cùng với những đồng tiền được hỗ trợ theo quy định.
Zero-day là thuật ngữ ám chỉ những lỗ hổng phần mềm hoặc phần cứng chưa được biết đến, cũng chưa được khắc phục. Tận dụng lỗ hổng này, các hacker có thể để tấn công xâm nhập vào hệ thống máy tính của doanh nghiệp hay tổ chức nhằm đánh cắp, thay đổi dữ liệu.
Nhóm phát triển General Bytes nói rằng, sau khi quét các máy chủ bị lộ chạy trên cổng TCP 7777 hoặc 443, có cả các máy chủ được lưu trữ trên dịch vụ đám mây của riêng General Bytes, tin tặc có thể tự thêm mình trở thành quản trị viên mặc định trên CAS, có tên là “gb”. Những kẻ này đã thực hiện sửa đổi cài đặt mua và bán. Có nghĩa là, bất kỳ đồng tiền mã hóa nào máy ATM Bitcoin nhận được sẽ chuyển đến ví của chúng.
“Kẻ tấn công có thể tạo người dùng quản trị từ xa thông qua giao diện quản trị CAS bằng lệnh gọi URL trên trang được sử dụng để cài đặt mặc định trên máy chủ và giả mạo người dùng quản trị đầu tiên.”
Theo lời khuyên, khách hàng nên sửa đổi cài đặt tường lửa máy chủ của mình. Khi đó, chỉ các địa chỉ IP được phép mới truy cập được giao diện quản trị CAS.
Được biết, kể từ khi công ty thành lập vào năm 2020, một số cuộc kiểm tra bảo mật đã được thực hiện nhưng không có cuộc kiểm tra nào xác định được lỗ hổng này.