Số tiền bị đánh cắp và số máy ATM bị xâm nhập vẫn chưa được tiết lộ nhưng công ty đã khẩn trương khuyến cáo các công ty đang vận hành máy ATM cập nhật phần mềm của họ. Vụ hack đã được xác nhận bởi General Bytes vào ngày 18/08, công ty sở hữu và vận hành 8827 máy ATM Bitcoin có thể truy cập ở hơn 120 quốc gia.
Lỗ hổng bảo mật đã xuất hiện kể từ khi các sửa đổi của tin tặc cập nhật phần mềm Máy chủ ứng dụng crypto (CAS) lên phiên bản 20201208. General Bytes đã kêu gọi khách hàng không sử dụng máy chủ ATM General Bytes cho đến khi phía công ty cập nhật máy chủ của mình để vá bản phát hành 20220725.22 và 20220531.38 cho khách hàng chạy trên 20220531.
Về cách thức lấy tiền của kẻ thủ ác, nhóm cố vấn bảo mật của General Bytes cho biết chúng đã tiến hành một cuộc tấn công lỗ hổng zero-day để giành quyền truy cập vào CAS của công ty và đánh cắp tiền. Máy chủ CAS quản lý toàn bộ hoạt động của máy ATM Bitcoin, bao gồm việc thực hiện mua và bán tiền mã hóa trên các sàn giao dịch và những đồng tiền được hỗ trợ theo quy định.
Về cơ bản, zero-day là thuật ngữ để chỉ những lỗ hổng phần mềm hoặc phần cứng chưa được biết đến và chưa được khắc phục. Các hacker có thể tận dụng lỗ hổng này để tấn công xâm nhập vào hệ thống máy tính của doanh nghiệp, tổ chức để đánh cắp hoặc thay đổi dữ liệu.
Tin tặc đã quét các máy chủ bị lộ chạy trên cổng TCP 7777 hoặc 443, bao gồm cả các máy chủ được lưu trữ trên dịch vụ đám mây của riêng General Bytes. Từ đó, chúng tự thêm mình làm quản trị viên mặc định trên CAS, có tên là “gb”, sau đó tiến hành sửa đổi cài đặt mua và bán để thay vào đó, bất kỳ đồng tiền mã hóa nào mà máy ATM Bitcoin nhận được sẽ được chuyển đến ví của chúng. Nhóm phát triển General Bytes cho biết: “Kẻ tấn công có thể tạo người dùng quản trị từ xa thông qua giao diện quản trị CAS bằng lệnh gọi URL trên trang được sử dụng để cài đặt mặc định trên máy chủ và giả mạo người dùng quản trị đầu tiên”.
Khách hàng cũng đã được khuyên nên sửa đổi cài đặt tường lửa máy chủ của họ để giao diện quản trị CAS chỉ có thể được truy cập từ các địa chỉ IP được phép. Đồng thời tuyên bố rằng một số cuộc kiểm tra bảo mật đã được tiến hành kể từ khi công ty được thành lập vào năm 2020, không có cuộc kiểm tra nào trong số đó xác định được lỗ hổng này.
CABO Team tổng hợp
