Nhà sản xuất máy ATM Bitcoin nổi tiếng General Bytes đã phải đối mặt với một thỏa hiệp trên các máy chủ của mình từ một cuộc tấn công zero-day xảy ra vào tuần trước.
Sự cố cho phép những kẻ tấn công trở thành quản trị viên mặc định và thay đổi cài đặt để chuyển tất cả tiền đến địa chỉ ví của chúng.
Cả công ty đều không tiết lộ số tiền bị đánh cắp, cũng như số lượng máy ATM Bitcoin bị xâm phạm. Tuy nhiên, General Bytes đã khuyến cáo các nhà khai thác ATM khẩn trương cập nhật phần mềm của họ.
Theo lời khuyên của công ty được công bố hôm thứ Năm, hacker đã xác định được một lỗi bảo mật trong giao diện quản trị CAS. Họ đã quét không gian địa chỉ IP của nhà cung cấp dịch vụ lưu trữ đám mây Digital Ocean và lạm dụng lỗ hổng để xác định các dịch vụ CAS đang chạy trên các cổng 7777 hoặc 443. Sau đó, tạo một người dùng quản trị mặc định mới.
Sau khi đánh giá kỹ lưỡng giao diện CAS, kẻ tấn công đã đổi tên người dùng quản trị mặc định thành “gb”. Sau đó thực hiện các thay đổi đối với cài đặt tiền điện tử của máy hai chiều với cài đặt ví thor. Điều này dẫn đến việc các máy ATM Bitcoin hai chiều chuyển tiếp tiền điện tử đến ví của kẻ tấn công khi khách hàng gửi tiền của họ qua các máy ATM.
Khách hàng cũng đã được khuyên nên sửa đổi cài đặt tường lửa máy chủ của họ để giao diện quản trị CAS chỉ có thể được truy cập từ các địa chỉ IP được ủy quyền.
Trước khi kích hoạt lại các thiết bị đầu cuối, General Bytes cũng nhắc nhở khách hàng xem lại ‘SELL Crypto Setting’ của họ để đảm bảo rằng tin tặc không sửa đổi cài đặt.
General Bytes tuyên bố rằng một số cuộc kiểm toán đã được tiến hành kể từ khi thành lập vào năm 2020, và không có lỗ hổng nào được phát hiện.
General Bytes, công ty sở hữu và vận hành 8827 máy ATM Bitcoin trải rộng ở hơn 120 quốc gia, mang đến cho khách hàng cơ hội mua và bán hơn 40 loại tiền điện tử.
Công ty đã kêu gọi các khách hàng đang sử dụng 20220531 ngừng sử dụng máy chủ ATM General Bytes của họ cho đến khi họ cập nhật máy chủ của mình để vá các bản phát hành 20220725.22 và 20220531.38.
Đáng chú ý, cuộc tấn công xảy ra chỉ ba ngày sau khi công ty đưa ra thông báo công khai về tính năng “Help Ukraine” trên các máy ATM của mình.
