Hacker đánh cắp tiền mã hóa thông qua ATM Bitcoin
-
Vừa qua đã xảy ra một vụ hack đánh cắp tiền điện tử tại các máy ATM Bitcoin của công ty General Bytes khiến dư luận xôn xao.
Hiện tổng số tiền bị đánh cắp cũng như số máy ATM bị hacker xâm nhập vẫn chưa được tiết lộ. Song, công ty đã khẩn trương khuyến cáo các nhà khai thác ATM cập nhật phần mềm của họ. Vào ngày 18/08, vụ tấn công đã được xác nhận bởi General Bytes - công ty sở hữu và vận hành 8827 máy ATM Bitcoin có thể truy cập ở hơn 120 quốc gia.(Nguồn: internet)
Lỗ hổng bảo mật đã xuất hiện kể từ khi các sửa đổi của hacker cập nhật phần mềm Máy chủ ứng dụng crypto (CAS) lên phiên bản 20201208. General Bytes đã kêu gọi khách hàng của mình ngưng sử dụng máy chủ ATM General Bytes cho đến khi công ty cập nhật máy chủ của họ để vá bản phát hành 20220725.22 và 20220531.38 cho khách hàng chạy trên 20220531.(Nguồn: internet)
Về cách thức đánh cắp tiền của tin tặc, đội ngũ cố vấn bảo mật của General Bytes cho biết, chúng đã tiến hành một cuộc tấn công lỗ hổng zero-day để giành quyền truy cập vào CAS của công ty và lấy trộm tiền. Máy chủ CAS quản lý tất cả hoạt động của máy ATM, bao gồm cả việc mua và bán tiền mã hóa trên các sàn giao dịch và những đồng tiền được hỗ trợ theo quy định.
Về cơ bản, zero-day là thuật ngữ dùng để chỉ những lỗ hổng phần cứng hoặc phần mềm chưa được xác định và khắc phục. Tin tặc có thể khai thác zero-day để xâm nhập vào hệ thống máy tính của tổ chức, doanh nghiệp để đánh cắp hoặc thay đổi dữ liệu.(Nguồn: internet)
Hacker đã quét các máy chủ bị lộ chạy trên cổng TCP 7777 hoặc 443, bao gồm cả các máy chủ được lưu trữ trên dịch vụ đám mây của riêng General Bytes. Sau đó, chúng tự thêm mình làm quản trị viên mặc định trên CAS, có tên là “gb”. Từ đây, chúng tiến hành sửa đổi cài đặt mua và bán để bất kỳ nguồn tiền mã hóa nào chuyển đến máy ATM Bitcoin sẽ chạy vào ví của chúng.
“Thông qua giao diện quản trị CAS, hacker có thể tạo quản trị viên từ xa bằng lệnh gọi URL trên trang được sử dụng để cài đặt mặc định trên máy chủ và giả mạo quản trị viên mặc định.” - Nhóm phát triển General Bytes cho hay.(Nguồn: internet)
Công ty cũng kêu gọi khách hàng nên sửa đổi cài đặt tường lửa máy chủ của mình để giao diện quản trị CAS chỉ có thể được truy cập từ các địa chỉ IP được phép. Đồng thời, đại diện General Bytes cũng tuyên bố rằng, kể từ khi công ty được thành lập vào năm 2020, một số cuộc kiểm tra bảo mật đã được tiến hành, tuy nhiên, không có cuộc kiểm tra nào trong số đó xác định được lỗ hổng này.