هکرهای مرتبط با کره شمالی مظنون به نقض امنیتی Bitrefill که کیف پول‌ها را خالی کرد

Bitrefill افشا کرد که در تاریخ 1405/12/10 هدف یک حمله سایبری قرار گرفت که منجر به سرقت وجوه ارز دیجیتال شد و گفت تحقیقات آن شواهد متعددی را یافته که این حادثه را به تاکتیک‌های مورد استفاده گروه Lazarus/Bluenoroff مرتبط با کره شمالی پیوند می‌دهد.

شرکت اعلام کرد که شباهت‌ها در روش‌های مهاجمان، بدافزار، الگوهای ردیابی آنچین و استفاده مجدد از آدرس‌های IP و ایمیل با عملیات‌های قبلی منتسب به این گروه مطابقت دارد.

حمله سایبری Bitrefill

به گفته شرکت، نقض امنیتی از لپ‌تاپ یک کارمند به خطر افتاده سرچشمه گرفت، جایی که یک اعتبارنامه قدیمی استخراج شد. آن اعتبارنامه امکان دسترسی به یک اسنپ‌شات حاوی اسرار تولید را فراهم کرد که مهاجمان سپس از آن برای گسترش دسترسی خود در سیستم‌های Bitrefill استفاده کردند. این امر آن‌ها را قادر ساخت به بخش‌هایی از پایگاه داده و کیف پول‌های داغ خاص ارز دیجیتال دسترسی پیدا کنند.

در آخرین توییت خود، Bitrefill گفت که ابتدا پس از شناسایی الگوهای خرید غیرعادی شامل برخی تامین‌کنندگان، این حادثه را شناسایی کرد که نشان می‌داد موجودی کارت هدیه و جریان‌های تامین آن مورد سوء استفاده قرار گرفته است. در همان زمان، مشاهده کرد که برخی کیف پول‌های داغ در حال تخلیه هستند و وجوه به آدرس‌های تحت کنترل مهاجمان ارسال می‌شود. پس از تایید نقض امنیتی، شرکت تمام سیستم‌ها را برای مهار وضعیت خاموش کرد.

پس از این حادثه، Bitrefill تایید کرد که با کارشناسان امنیت سایبری خارجی، تیم‌های واکنش به حوادث، تحلیلگران بلاک چین و مجریان قانون همکاری می‌کند.

شرکت گفت هیچ نشانه‌ای وجود ندارد که داده‌های مشتری تمرکز اصلی حمله بوده باشد. طبق لاگ‌های آن، مهاجمان تعداد محدودی پرس‌وجوی پایگاه داده مطابق با فعالیت کاوشی برای شناسایی آنچه قابل استخراج است، اجرا کردند. این شامل موجودی ارز دیجیتال و کارت هدیه بود. Bitrefill افزود که حداقل داده‌های شخصی را ذخیره می‌کند و مشتری خودت را بشناس اجباری را نیاز ندارد و هرگونه اطلاعات تاییدیه توسط یک ارائه‌دهنده خارجی نگهداری می‌شود.

با این حال، تایید کرد که حدود 18,500 رکورد خرید به آن‌ها دسترسی پیدا کرده است، از جمله آدرس‌های ایمیل، آدرس‌های پرداخت ارز دیجیتال و متادیتا مانند آدرس‌های IP. در تقریباً 1,000 مورد که مشتریان نام‌هایی را برای محصولات خاص ارائه داده بودند، اطلاعات رمزگذاری شده بود، اما شرکت به دلیل افشای احتمالی کلیدهای رمزگذاری، آن را به عنوان دسترسی احتمالی در نظر می‌گیرد. آن کاربران مطلع شده‌اند.

Bitrefill گفت که در حال حاضر معتقد نیست مشتریان نیاز به اقدام خاصی داشته باشند، اما توصیه به هوشیاری در مورد هرگونه ارتباط غیرمنتظره مرتبط با Bitrefill یا ارز دیجیتال کرد.

شرکت افزود که اقدامات امنیت حساب خود را تقویت کرده است، از جمله انجام بررسی‌های امنیت سایبری خارجی بیشتر و تست نفوذ، سخت‌تر کردن کنترل‌های دسترسی داخلی، بهبود سیستم‌های نظارت بر ریسک در زمان واقعی و ثبت وقایع، و بهبود رویه‌های واکنش به حوادث. گفت که خسارات مالی از سرمایه عملیاتی آن پوشش داده خواهد شد و اکثر خدمات، از جمله پرداخت‌ها و موجودی، بازیابی دارایی شده‌اند.

هرج و مرج Lazarus

حتی در حالی که بسیاری از پلتفرم‌های کریپتو در سال‌های اخیر چارچوب‌های امنیتی خود را افزایش داده‌اند، عوامل تهدید همچنان از حفاظت‌ها عبور می‌کنند. گروه Lazarus پایدارترین و خطرناک‌ترین دشمن این بخش باقی می‌ماند و مسئول بزرگترین هک کریپتو ثبت شده پس از سرقت 1.4 میلیارد دلار از Bybit در 1403/12 است.

محقق بلاک چین ZachXBT قبلاً گفته بود که نقض‌های امنیتی شامل پلتفرم‌هایی مانند Bybit، DMM Bitcoin و WazirX شاهد پول‌شویی آسان وجوه سرقت شده بودند. محقق آنچین اضافه کرده بود که گروه‌های پول‌شویی "به نظر می‌رسد نبرد" را بر اجرای قانون برده‌اند.

پست هکرهای مرتبط با کره شمالی مظنون به نقض امنیتی Bitrefill که کیف پول‌ها را تخلیه کرد برای اولین بار در CryptoPotato ظاهر شد.