يُشتبه في قيام قراصنة مرتبطين بكوريا الشمالية باختراق Bitrefill الذي أدى إلى استنزاف المحافظ

كشفت Bitrefill أنها تعرضت لهجوم إلكتروني في 1 مارس، مما أدى إلى سرقة أموال عملة مشفرة، وقالت إن تحقيقها وجد مؤشرات متعددة تربط الحادث بالتكتيكات المستخدمة من قبل مجموعة Lazarus/Bluenoroff المرتبطة بكوريا الشمالية.

ذكرت الشركة أن أوجه التشابه في أساليب المهاجمين والبرامج الضارة وأنماط التتبع على السلسلة وإعادة استخدام عناوين IP والبريد الإلكتروني تتوافق مع العمليات السابقة المنسوبة إلى المجموعة.

الهجوم الإلكتروني على Bitrefill

وفقًا للشركة، نشأ الاختراق من جهاز كمبيوتر محمول لموظف مخترق، حيث تم استخراج بيانات اعتماد قديمة. سمحت بيانات الاعتماد هذه بالوصول إلى لقطة تحتوي على أسرار الإنتاج، والتي استخدمها المهاجمون بعد ذلك لتوسيع وصولهم عبر أنظمة Bitrefill. مكنهم هذا من الوصول إلى أجزاء من قاعدة البيانات وبعض محافظ العملات المشفرة.

في أحدث تغريدة لها، قالت Bitrefill إنها حددت الحادث لأول مرة بعد اكتشاف أنماط شراء غير عادية تتعلق ببعض الموردين، مما يشير إلى إساءة استخدام مخزون بطاقات الهدايا وتدفقات الإمداد الخاصة بها. في الوقت نفسه، لاحظت أن بعض المحفظة الساخنة كانت تُستنزف، وتم إرسال الأموال إلى عناوين يسيطر عليها المهاجمون. بمجرد تأكيد الاختراق، أوقفت الشركة جميع الأنظمة لاحتواء الموقف.

بعد الحادث، أكدت Bitrefill أنها تعمل مع خبراء الأمن السيبراني الخارجيين وفرق الاستجابة للحوادث ومحللي البلوكشين وجهات إنفاذ القانون.

قالت الشركة إنه لا يوجد ما يشير إلى أن بيانات العملاء كانت التركيز الرئيسي للهجوم. وفقًا لسجلاتها، قام المهاجمون بتشغيل عدد محدود من استعلامات قاعدة البيانات بما يتوافق مع نشاط الفحص لتحديد ما يمكن استخراجه. وشمل ذلك مخزون العملات المشفرة وبطاقات الهدايا. أضافت Bitrefill أنها تخزن الحد الأدنى من البيانات الشخصية ولا تتطلب التحقق من KYC إلزاميًا، مع الاحتفاظ بأي معلومات التحقق لدى مزود خارجي.

ومع ذلك، أكدت أنه تم الوصول إلى حوالي 18,500 سجل شراء، بما في ذلك عناوين البريد الإلكتروني وعناوين دفع العملات المشفرة والبيانات الوصفية مثل عناوين IP. في حوالي 1,000 حالة حيث قدم العملاء أسماء لمنتجات محددة، تم تشفير المعلومات، لكن الشركة تعاملها على أنها يُحتمل الوصول إليها بسبب التعرض المحتمل لمفاتيح التشفير. تم إخطار هؤلاء المستخدمين.

قالت Bitrefill إنها لا تعتقد حاليًا أن العملاء بحاجة إلى اتخاذ إجراء محدد، لكنها نصحت باليقظة فيما يتعلق بأي اتصالات غير متوقعة تتعلق بـ Bitrefill أو عملة مشفرة.

أضافت الشركة أنها عززت تدابيرها الأمنية، بما في ذلك إجراء مزيد من المراجعات الأمنية الإلكترونية الخارجية واختبار الاختراق، وتشديد ضوابط الوصول الداخلية، وتحسين أنظمة المراقبة والتسجيل، وتحسين إجراءات الاستجابة للحوادث. وقالت إن الخسائر المالية سيتم تغطيتها من رأس مالها التشغيلي، وأنه تمت استعادة معظم الخدمات، بما في ذلك المدفوعات والمخزون.

فوضى Lazarus

حتى مع قيام العديد من منصات التشفير بتعزيز أطر الأمان الخاصة بها في السنوات الأخيرة، يواصل الجهات الفاعلة التهديدية تجاوز الحماية. تظل مجموعة Lazarus الخصم الأكثر إصرارًا وخطورة في القطاع، مسؤولة عن أكبر اختراق للعملات المشفرة مسجل بعد سرقة 1.4 مليار دولار من Bybit في فبراير 2025.

قال محقق البلوكشين ZachXBT سابقًا إن الاختراقات التي شملت منصات مثل Bybit و DMM Bitcoin و WazirX شهدت غسل الأموال المسروقة بسهولة. وأضاف المحقق على السلسلة أن مجموعات الغسيل "يبدو أنها فازت بالمعركة" على الإنفاذ.

ظهر منشور قراصنة مرتبطون بكوريا الشمالية مشتبه بهم في اختراق Bitrefill الذي استنزف المحافظ أولاً على CryptoPotato.