Tin tặc đánh cắp tiền điện tử từ máy ATM Bitcoin bằng cách khai thác lỗ hổng zero-day

Nhà sản xuất máy ATM Bitcoin-General Bytes xác nhận đã bị tấn công mạng thông qua một khai thác lỗ hổng chưa từng biết trước đây trong phần mềm của họ khiến tiền điện tử của người dùng bị lấy cắp.

Công ty cho biết "kẻ tấn công có thể tạo một người dùng quản trị thông qua giao diện quản trị CAS bằng cách truy cập URL vào trang dùng để thiết lập các cài đặt mặc định trên máy chủ và tạo người dùng quản trị đầu tiên". "Lỗ hổng này tồn tại trong phần mềm CAS từ phiên bản 2020-12-08".

Hiện vẫn chưa rõ có bao nhiêu máy chủ đã bị xâm phạm bằng cách khai thác lỗ hổng này cũng như số tiền điện tử đã bị đánh cắp.

CAS-Crypto Application Server là một sản phẩm tự lưu trữ của General Bytes, cho phép các công ty quản lý các máy ATM Bitcoin (BATM) thông qua trình duyệt web.

Lỗ hổng zero-day trong giao diện quản trị CAS hiện đã được giảm thiểu trong hai bản cập nhật máy chủ 20220531.38 và 20220725.22.

General Bytes cho biết kẻ tấn công đã xác định các dịch vụ CAS đang chạy trên cổng 7777 hoặc 443 bằng cách quét (scan) các IP máy chủ cloud DigitalOcean, sau đó lạm dụng lỗ hổng để thêm người dùng quản trị mặc định mới có tên "gb" vào CAS.

"Kẻ tấn công đã sửa đổi cài đặt crypto của các máy hai chiều (two-way machine) với các thông tin ví của hắn và cài đặt địa chỉ thanh toán không hợp lệ". Sau đó "các máy ATM hai chiều bắt đầu chuyển tiền vào ví của kẻ tấn công khi khách hàng gửi tiền vào [máy] ATM."

Mục tiêu của cuộc tấn công là sửa đổi cài đặt để tất cả tiền sẽ được chuyển đến địa chỉ ví điện tử do kẻ tấn công kiểm soát.

General Bytes nhấn mạnh rằng họ đã thực hiện "nhiều cuộc kiểm tra bảo mật" kể từ năm 2020 và lỗ hổng này chưa từng được phát hiện, thêm vào đó, cuộc tấn công đã xảy ra ba ngày sau khi công khai tính năng "Help Ukraine" trên các máy ATM của họ.

Nguồn: thehackernews.com.