Hacker đánh cắp tiền mã hóa thông qua máy ATM Bitcoin

Máy ATM Bitcoin của công ty General Bytes đã vô tình trở thành công cụ cho một tin tặc lợi dụng và đánh cắp tiền mã hóa từ những khách hàng gửi tại đây.

Hiện số tiền bị đánh cắp và số máy ATM bị xâm nhập chưa được tiết lộ. Phía công ty đã khẩn trương khuyến cáo những nhà khai thác ATM cập nhật phần mềm. General Bytes xác nhận vụ hack vào hôm 18/08.

General Bytes là công ty crypto - được ví như người tiên phong trong "ngành công nghiệp ATM Bitcoin", có trụ sở chính tại Praha, Cộng hòa Séc. Các máy ATM của hãng cho phép khách hàng mua hoặc bán hơn 40 đồng tiền mã hóa khác nhau. Quy mô vận hành của General Bytes lên tới 8827 máy ATM Bitcoin và có thể truy cập tại hơn 120 quốc gia.

Theo điều tra, lỗ hổng bảo mật xuất hiện kể từ khi tên hacker tải lên một phần mềm CAS nâng cấp 20201208. General Bytes kêu gọi khách hàng không sử dụng máy chủ ATM General Bytes cho đến khi phía công ty cập nhật máy chủ của mình để “vá” bản phát hành 20220725.22 và 20220531.38 cho khách hàng chạy trên 20220531.

Về cách thức thực hiện hành vi “đánh cắp”, nhóm cố vấn bảo mật của General Bytes cho biết chúng đã tấn công vào lỗ hổng zero-day để giành quyền truy cập vào CAS của công ty, từ đó lấy tiền ra. Máy chủ CAS quản lý toàn bộ hoạt động của máy ATM, bao gồm việc thực hiện mua và bán tiền mã hóa trên các sàn giao dịch và những đồng tiền được hỗ trợ theo quy định.

Hiểu cơ bản, zero-day là thuật ngữ để chỉ những lỗ hổng phần mềm hoặc phần cứng chưa được biết đến và chưa được khắc phục. Các hacker có thể tận dụng lỗ hổng này để xâm nhập vào hệ thống máy tính của doanh nghiệp, tổ chức hòng đánh cắp hoặc thay đổi dữ liệu.

Tin tặc đã quét các máy chủ bị lộ chạy trên cổng TCP 7777 hoặc 443, bao gồm cả các máy chủ được lưu trữ trên dịch vụ đám mây của riêng General Bytes. Sau đó, chúng tự thêm mình làm quản trị viên mặc định trên CAS, có tên là “gb”, và tiến hành sửa đổi cài đặt mua bán để thay vào đó. Bất kỳ đồng tiền mã hóa nào mà máy ATM Bitcoin nhận được sẽ được chuyển đến ví của chúng. 

Nhóm phát triển General Bytes cho biết:

“Kẻ tấn công có thể tạo người dùng quản trị từ xa thông qua giao diện quản trị CAS bằng lệnh gọi URL trên trang được sử dụng để cài đặt mặc định trên máy chủ và giả mạo người dùng quản trị đầu tiên.”

Khách hàng cũng được khuyên nên sửa đổi cài đặt tường lửa máy chủ để giao diện quản trị CAS chỉ có thể được truy cập từ các địa chỉ IP được ủy quyền. Bên cạnh đó, General Bytes cũng nói rằng công ty đã thực hiện một số cuộc kiểm tra bảo mật kể từ khi thành lập năm 2020, nhưng không lần nào xác định được lỗ hổng này.