Ngày 21 tháng 3 năm 2023Ravie Lakshmanan Tiền điện tử / Hacking
Nhà sản xuất ATM bitcoin General Bytes tiết lộ rằng các tác nhân đe dọa không xác định đã đánh cắp tiền điện tử từ ví nóng bằng cách khai thác lỗ hổng bảo mật zero-day trong phần mềm của họ.
“Kẻ tấn công đã có thể tải lên ứng dụng java của riêng mình từ xa thông qua giao diện dịch vụ chính được sử dụng bởi các thiết bị đầu cuối để tải video lên và chạy nó bằng đặc quyền người dùng ‘batm',” công ty cho biết trong một lời khuyên được công bố vào cuối tuần.
“Kẻ tấn công đã quét không gian địa chỉ IP lưu trữ đám mây Digital Ocean và xác định các dịch vụ CAS đang chạy trên các cổng 7741, bao gồm dịch vụ General Bytes Cloud và các nhà khai thác ATM GB khác chạy máy chủ của họ trên Digital Ocean,” nó nói thêm.
Công ty cho biết máy chủ mà ứng dụng Java độc hại được tải lên theo mặc định được định cấu hình để khởi động các ứng dụng có trong thư mục triển khai (“/batm/app/admin/standalone/deployments/”).
Khi làm như vậy, cuộc tấn công cho phép tác nhân đe dọa truy cập cơ sở dữ liệu; đọc và giải mã các khóa API được sử dụng để truy cập tiền trong ví nóng và sàn giao dịch; gửi tiền từ ví; tải xuống tên người dùng, băm mật khẩu và tắt xác thực hai yếu tố (2FA); và thậm chí truy cập nhật ký sự kiện đầu cuối.
Nó cũng cảnh báo rằng dịch vụ đám mây của riêng nó cũng như các máy chủ độc lập của các nhà khai thác khác đã bị xâm nhập do sự cố, khiến công ty phải đóng cửa dịch vụ.
Ngoài việc khuyến khích khách hàng giữ các máy chủ ứng dụng tiền điện tử (CAS) của họ đằng sau tường lửa và VPN, chúng tôi cũng khuyến nghị chuyển tất cả mật khẩu và khóa API của người dùng sang các sàn giao dịch và ví nóng.
“Bản sửa lỗi bảo mật CAS được cung cấp trong hai bản phát hành bản vá máy chủ, 20221118.48 và 20230120.44,” General Bytes cho biết trong lời khuyên.
Công ty nhấn mạnh thêm rằng họ đã tiến hành nhiều cuộc kiểm tra bảo mật kể từ năm 2021 và không có cuộc kiểm tra nào đánh dấu lỗ hổng này. Nó dường như chưa được vá kể từ phiên bản 20210401.
General Bytes không tiết lộ chính xác số tiền bị tin tặc đánh cắp, nhưng một phân tích về ví tiền điện tử được sử dụng trong cuộc tấn công cho thấy đã nhận được 56,283 BTC (1,5 triệu đô la), 21,823 ETH (36.500 đô la) và 1.219,183 LTC (96.500 đô la).
Vụ hack ATM là vụ vi phạm thứ hai nhắm vào General Bytes trong vòng chưa đầy một năm, với một lỗ hổng zero-day khác trong các máy chủ ATM của nó bị lợi dụng để đánh cắp tiền điện tử từ khách hàng vào tháng 8 năm 2022.
