Nhà sản xuất máy ATM Bitcoin, General Bytes đã xác nhận rằng họ là nạn nhân của một cuộc tấn công mạng khai thác một lỗ hổng chưa được biết đến trước đó trong phần mềm của mình để cướp tiền điện tử từ người dùng.
“Kẻ tấn công có thể tạo người dùng quản trị từ xa thông qua giao diện quản trị CAS thông qua lệnh gọi URL trên trang được sử dụng để cài đặt mặc định trên máy chủ và tạo người dùng quản trị đầu tiên”, công ty cho biết trong một lời khuyên vào tuần trước. “Lỗ hổng này đã xuất hiện trong phần mềm CAS kể từ phiên bản 2020-12-08.”
Không rõ ngay lập tức có bao nhiêu máy chủ bị xâm phạm bằng cách sử dụng lỗ hổng này và bao nhiêu tiền điện tử đã bị đánh cắp.
CAS là viết tắt của Crypto Application Server, một sản phẩm tự lưu trữ từ General Bytes cho phép các công ty quản lý máy ATM Bitcoin (BATM) từ vị trí trung tâm thông qua trình duyệt web trên máy tính để bàn hoặc thiết bị di động.
Lỗ hổng zero-day, liên quan đến lỗi trong giao diện quản trị CAS, đã được giảm nhẹ trong hai bản vá lỗi máy chủ, 20220531.38 và 20220725.22.
General Bytes cho biết tác nhân đe dọa giấu tên đã xác định đang chạy các dịch vụ CAS trên các cổng 7777 hoặc 443 bằng cách quét không gian địa chỉ IP lưu trữ đám mây DigitalOcean, tiếp theo là lạm dụng lỗ hổng để thêm người dùng quản trị mặc định mới có tên “gb” vào CAS.
“Kẻ tấn công đã sửa đổi cài đặt tiền điện tử của các máy hai chiều với cài đặt ví của hắn và cài đặt ‘địa chỉ thanh toán không hợp lệ'”, nó cho biết. “Các máy ATM hai chiều bắt đầu chuyển tiền đến ví của kẻ tấn công khi khách hàng gửi tiền đến [the] ATM.”
Nói cách khác, mục tiêu của cuộc tấn công là sửa đổi cài đặt theo cách mà tất cả tiền sẽ được chuyển đến một địa chỉ ví kỹ thuật số dưới sự kiểm soát của đối thủ.
Công ty cũng nhấn mạnh rằng họ đã thực hiện “nhiều cuộc kiểm tra bảo mật” kể từ năm 2020 và thiếu sót này chưa bao giờ được xác định, thêm vào đó cuộc tấn công xảy ra ba ngày sau khi công bố công khai tính năng “Trợ giúp Ukraine” trên các máy ATM của mình.
.
