Хакери, пов'язані з Північною Кореєю, підозрюються в зломі Bitrefill, що призвело до спустошення гаманців

Bitrefill повідомила, що 1 березня компанія стала ціллю кібератаки, внаслідок якої було викрадено криптовалютні кошти, і заявила, що її розслідування виявило численні ознаки, які пов'язують інцидент із тактикою, що використовується пов'язаною з КНДР групою Lazarus/Bluenoroff.

Компанія заявила, що схожість методів зловмисників, шкідливого програмного забезпечення, патернів трасування ончейн та повторного використання IP-адрес і адрес електронної пошти відповідають попереднім операціям, що приписуються цій групі.

Кібератака на Bitrefill

За даними компанії, злом почався зі скомпрометованого ноутбука співробітника, звідки було витягнуто застарілі облікові дані. Ці облікові дані дозволили отримати доступ до знімку, що містив секрети продакшну, які зловмисники потім використали для розширення свого доступу до систем Bitrefill. Це дало їм змогу отримати доступ до частин бази даних і певних криптовалютних гаманців.

У своєму останньому твіті Bitrefill повідомила, що вперше виявила інцидент після виявлення незвичайних патернів закупівель із залученням деяких постачальників, що вказувало на зловживання її інвентарем подарункових карток і потоками постачання. Водночас компанія помітила, що деякі гарячі гаманці спустошуються, а кошти надсилаються на адреси, контрольовані зловмисниками. Після підтвердження злому компанія вимкнула всі системи, щоб локалізувати ситуацію.

Після інциденту Bitrefill підтвердила, що працює із зовнішніми експертами з кібербезпеки, групами реагування на інциденти, аналітиками блокчейну та правоохоронними органами.

Компанія заявила, що немає ознак того, що дані клієнтів були головною ціллю атаки. Згідно з її журналами, зловмисники виконали обмежену кількість запитів до бази даних, що відповідають діяльності зондування для визначення того, що можна витягти. Це включало криптовалюту та інвентар подарункових карток. Bitrefill додала, що зберігає мінімальні персональні дані та не вимагає обов'язкової верифікації KYC, при цьому будь-яка інформація про верифікацію зберігається у зовнішнього провайдера.

Однак компанія підтвердила, що було отримано доступ приблизно до 18 500 записів про покупки, включаючи адреси електронної пошти, адреси криптовалютних платежів і метадані, такі як IP-адреси. Приблизно в 1 000 випадках, коли клієнти надавали імена для конкретних продуктів, інформація була зашифрована, але компанія розглядає її як потенційно доступну через можливе розкриття ключів шифрування. Ці користувачі були повідомлені.

Bitrefill заявила, що наразі не вважає, що клієнтам потрібно вживати конкретних дій, але порадила пильнувати щодо будь-яких несподіваних повідомлень, пов'язаних із Bitrefill або криптовалютою.

Компанія додала, що посилила свої заходи безпеки, включаючи проведення додаткових зовнішніх перевірок кібербезпеки та пентестингу, посилення внутрішнього контролю доступу, покращення систем моніторингу та ведення журналів і вдосконалення процедур реагування на інциденти. Компанія заявила, що фінансові збитки будуть покриті з її операційного капіталу та що більшість послуг, включаючи платежі та інвентар, було відновлено.

Хаос Lazarus

Навіть коли багато криптовалютних платформ посилили свої системи безпеки в останні роки, зловмисники продовжують обходити захист. Група Lazarus залишається найбільш наполегливим і небезпечним супротивником сектору, відповідальним за найбільший криптовалютний злом в історії після викрадення 1,4 мільярда доларів США у Bybit у лютому 2025 року.

Блокчейн-слідчий ZachXBT раніше заявляв, що злами, що стосуються таких платформ, як Bybit, DMM Bitcoin і WazirX, продемонстрували легке відмивання викрадених коштів. Ончейн-слідчий додав, що групи з відмивання «схоже, виграли битву» над правозастосуванням.

Публікація «Хакери, пов'язані з Північною Кореєю, підозрюються у зломі Bitrefill, який спустошив гаманці» вперше з'явилася на CryptoPotato.