Nhà sản xuất máy ATM Bitcoin General Bytes đã bị hacker tấn công máy chủ của mình thông qua một cuộc tấn công zero-day vào ngày 18/08, tin tặc đã uỷ quyền quản trị cho mình và sửa đổi cài đặt “mua bán” để tất cả tiền của người gửi vào ATM Bitcoin sẽ được chuyển đến địa chỉ ví của hacker.
Số tiền bị đánh cắp và số lượng máy ATM bị xâm phạm vẫn chưa được tiết lộ nhưng công ty đã khẩn trương khuyến cáo các nhà khai thác ATM cập nhật phần mềm của họ.
Vụ hack đã được xác nhận bởi General Bytes vào ngày 18/08, công ty sở hữu và vận hành 8827 máy ATM Bitcoin có thể truy cập hơn 120 quốc gia. Công ty có trụ sở chính tại Prague, Cộng hòa Séc cũng là nơi sản xuất các máy ATM. Khách hàng sử dụng ATM có thể mua hoặc bán hơn 40 đồng coin.
Lỗ hổng bảo mật đã xuất hiện kể từ khi các sửa đổi của hacker cập nhật phần mềm CAS lên phiên bản 20201208.
General Bytes đã kêu gọi khách hàng không sử dụng máy chủ ATM General Bytes của họ cho đến khi họ cập nhật máy chủ của mình để vá bản phát hành 20220725.22 và 20220531.38 cho khách hàng chạy trên 20220531.
Khách hàng cũng đã được khuyên nên sửa đổi cài đặt tường lửa máy chủ của họ để giao diện quản trị CAS chỉ có thể được truy cập từ các địa chỉ IP được ủy quyền.
Trước khi kích hoạt lại các thiết bị đầu cuối, General Bytes cũng nhắc nhở khách hàng xem lại “Cài đặt BÁN tiền điện tử” của họ để đảm bảo rằng tin tặc không sửa đổi cài đặt sao cho bất kỳ khoản tiền nào đã nhận thay vào đó sẽ được chuyển cho họ (chứ không phải khách hàng).
General Bytes tuyên bố rằng một số cuộc audit bảo mật đã được tiến hành kể từ khi thành lập vào năm 2020 nhưng không ai trong số đó xác định được lỗ hổng này.
Cuộc tấn công đã xảy ra như thế nào?
Nhóm cố vấn bảo mật của General Bytes đã cho biết tin tặc đã tiến hành một cuộc tấn công lỗ hổng zero-day để giành quyền truy cập vào Máy chủ ứng dụng tiền điện tử (CAS) của công ty và đánh cắp tiền.
Máy chủ CAS quản lý toàn bộ hoạt động của máy ATM, bao gồm việc thực hiện mua và bán tiền điện tử trên các sàn giao dịch và những đồng tiền nào được hỗ trợ.
Công ty tin rằng tin tặc "đã quét tìm các máy chủ bị lộ chạy trên cổng TCP 7777 hoặc 443, bao gồm cả các máy chủ được lưu trữ trên dịch vụ đám mây của riêng General Bytes."
Từ đó, tin tặc tự thêm mình làm quản trị viên mặc định trên CAS có tên là “gb” sau đó tiến hành sửa đổi cài đặt “mua” và “bán”, kể tử đó bất kỳ đồng tiền mã hóa nào mà máy ATM Bitcoin nhận được sẽ được chuyển đến ví của chúng.
"Kẻ tấn công đã có thể tạo người dùng quản trị từ xa thông qua giao diện quản trị CAS thông qua một lệnh gọi URL trên trang được sử dụng để cài đặt mặc định trên máy chủ và tạo người dùng quản trị đầu tiên."