แฮ็กเกอร์ที่เชื่อมโยงกับเกาหลีเหนือถูกสงสัยว่าอยู่เบื้องหลังการโจมตี Bitrefill ที่ทำให้กระเป๋าเงินถูกระบายหมด

Bitrefill เปิดเผยว่าถูกโจมตีทางไซเบอร์เมื่อวันที่ 1 มีนาคม ส่งผลให้เงินสกุลดิจิทัลถูกขะโมย และกล่าวว่าการสอบสวนพบตัวชี้วัดหลายอย่างที่เชื่อมโยงเหตุการณ์นี้กับกลวิธีที่ใช้โดยกลุ่ม Lazarus/Bluenoroff ที่เกี่ยวข้องกับสาธารณรัฐประชาธิปไตยประชาชนเกาหลี

บริษัทระบุว่าความคล้ายคลึงกันในวิธีการของผู้โจมตี มัลแวร์ รูปแบบการติดตามบนเชน และการใช้ที่อยู่ IP และอีเมลซ้ำ สอดคล้องกับการดำเนินการก่อนหน้านี้ที่มาจากกลุ่มดังกล่าว

การโจมตีทางไซเบอร์ต่อ Bitrefill

ตามที่บริษัทกล่าว การละเมิดเกิดจากแล็ปท็อปของพนักงานที่ถูกบุกรุก ซึ่งข้อมูลรับรองแบบเดิมถูกดึงออกมา ข้อมูลรับรองนั้นอนุญาตให้เข้าถึงสแนปช็อตที่มีข้อมูลลับด้านการผลิต ซึ่งผู้โจมตีใช้เพื่อขยายการเข้าถึงในระบบของ Bitrefill สิ่งนี้ทำให้พวกเขาสามารถเข้าถึงบางส่วนของฐานข้อมูลและกระเป๋าสกุลดิจิทัลบางส่วนได้

ในทวีตล่าสุด Bitrefill กล่าวว่าพวกเขาระบุเหตุการณ์ครั้งแรกหลังจากตรวจพบรูปแบบการซื้อที่ผิดปกติที่เกี่ยวข้องกับซัพพลายเออร์บางราย ซึ่งบ่งชี้ว่าสินค้าคงคลังบัตรของขวัญและการไหลของอุปทานถูกใช้ในทางที่ผิด ในเวลาเดียวกัน สังเกตเห็นว่ากระเป๋าร้อนบางส่วนกำลังถูกระบาย และเงินถูกส่งไปยังที่อยู่ที่ควบคุมโดยผู้โจมตี เมื่อการละเมิดได้รับการยืนยัน บริษัทปิดระบบทั้งหมดเพื่อควบคุมสถานการณ์

หลังจากเหตุการณ์ดังกล่าว Bitrefill ยืนยันว่าได้ทำงานร่วมกับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ภายนอก ทีมตอบสนองต่อเหตุการณ์ นักวิเคราะห์บล็อกเชน และหน่วยงานบังคับใช้กฎหมาย

บริษัทกล่าวว่าไม่มีข้อบ่งชี้ว่าข้อมูลลูกค้าเป็นจุดสนใจหลักของการโจมตี ตามบันทึกของบริษัท ผู้โจมตีทำการสอบถามฐานข้อมูลจำนวนจำกัดที่สอดคล้องกับกิจกรรมการสำรวจเพื่อระบุสิ่งที่สามารถดึงออกมาได้ ซึ่งรวมถึงสินค้าคงคลังสกุลดิจิทัลและบัตรของขวัญ Bitrefill เพิ่มว่าจัดเก็บข้อมูลส่วนบุคคลเพียงเล็กน้อยและไม่ต้องการ KYC แบบบังคับ โดยข้อมูลการตรวจสอบใดๆ จะเก็บไว้โดยผู้ให้บริการภายนอก

อย่างไรก็ตาม ได้ยืนยันว่าบันทึกการซื้อประมาณ 18,500 รายการถูกเข้าถึง รวมถึงที่อยู่อีเมล ที่อยู่ชำระเงินสกุลดิจิทัล และข้อมูลเมตาเช่นที่อยู่ IP ในกรณีประมาณ 1,000 รายการที่ลูกค้าได้ให้ชื่อสำหรับผลิตภัณฑ์เฉพาะ ข้อมูลได้ถูกเข้ารหัส แต่บริษัทถือว่าอาจถูกเข้าถึงเนื่องจากการเปิดเผยคีย์เข้ารหัสที่เป็นไปได้ ผู้ใช้เหล่านั้นได้รับการแจ้งเตือนแล้ว

Bitrefill กล่าวว่าปัจจุบันไม่เชื่อว่าลูกค้าจำเป็นต้องดำเนินการใดๆ โดยเฉพาะ แต่แนะนำให้ระมัดระวังเกี่ยวกับการสื่อสารที่ไม่คาดคิดที่เกี่ยวข้องกับ Bitrefill หรือสกุลดิจิทัล

บริษัทเพิ่มว่าได้เสริมสร้างมาตรการรักษาความปลอดภัย รวมถึงการทำการตรวจสอบความปลอดภัยทางไซเบอร์ภายนอกเพิ่มเติมและการทดสอบการเจาะระบบ กำหนดการควบคุมการเข้าถึงภายในให้เข้มงวดขึ้น ปรับปรุงระบบการตรวจสอบและบันทึก และปรับปรุงขั้นตอนการตอบสนองต่อเหตุการณ์ บริษัทกล่าวว่าความสูญเสียทางการเงินจะถูกครอบคลุมจากเงินทุนดำเนินงาน และบริการส่วนใหญ่รวมถึงการชำระเงินและสินค้าคงคลังได้รับการฟื้นฟูแล้ว

ความหายนะจาก Lazarus

แม้ว่าแพลตฟอร์มคริปโตหลายแห่งได้เพิ่มกรอบความปลอดภัยในช่วงไม่กี่ปีที่ผ่านมา แต่ผู้คุกคามยังคงข้ามการป้องกันได้ กลุ่ม Lazarus ยังคงเป็นคู่ต่อสู้ที่แข็งแกร่งและอันตรายที่สุดของภาคส่วนนี้ รับผิดชอบการแฮ็กคริปโตที่ใหญ่ที่สุดในประวัติศาสตร์หลังจากขโมย 1.4 พันล้านดอลลาร์จาก Bybit ในเดือนกุมภาพันธ์ 2025

นักสืบบล็อกเชน ZachXBT กล่าวก่อนหน้านี้ว่าการละเมิดที่เกี่ยวข้องกับแพลตฟอร์มเช่น Bybit, DMM Bitcoin และ WazirX พบว่าเงินที่ถูกขโมยถูกฟอกได้อย่างง่ายดาย นักสืบออนเชนได้เพิ่มว่ากลุ่มฟอกเงิน "ดูเหมือนจะชนะการต่อสู้" เหนือการบังคับใช้

โพสต์ แฮกเกอร์ที่เชื่อมโยงกับเกาหลีเหนือถูกสงสัยในการละเมิด Bitrefill ที่ระบายกระเป๋าเงิน ปรากฏครั้งแรกบน CryptoPotato