Bitrefill đã liên kết cuộc tấn công mạng ngày 1 tháng 3 với Tập đoàn Lazarus của Triều Tiên, tiết lộ cách một chiếc máy tính xách tay của nhân viên bị xâm nhập đã cho phép tin tặc xâm nhập vào hệ thống, rút ​​tiền và truy cập vào các hồ sơ nhạy cảm. Vụ xâm nhập bắt đầu khi tin tặc triển khai phần mềm độc hại trên thiết bị của một nhân viên, làm lộ thông tin đăng nhập cũ, mở khóa quyền truy cập vào cơ sở hạ tầng nội bộ của Bitrefill.

Từ đó, những kẻ tấn công đã có thể lấy được khóa sản xuất, di chuyển ngang qua các hệ thống và cuối cùng rút hết tiền từ ví nóng của công ty.

Các phương pháp được sử dụng — bao gồm theo dõi chuỗi khối và cơ sở hạ tầng IP và email được sử dụng lại — phù hợp chặt chẽ với các chiến thuật liên quan đến Lazarus và công ty liên kết BlueNoroff Group, cả hai đều nổi tiếng với các cuộc tấn công nhắm mục tiêu cao, về mặt tài chính. các cuộc tấn công có động cơ vào các nền tảng tiền điện tử.

Từ một thiết bị đến quyền truy cập toàn hệ thống

Những gì bắt đầu như một sự xâm phạm điểm cuối duy nhất đã nhanh chóng leo thang thành một vụ vi phạm cơ sở hạ tầng rộng hơn. Với quyền truy cập vào các hệ thống nội bộ, tin tặc đã thăm dò môi trường của Bitrefill, tập trung vào lượng tiền điện tử nắm giữ và chuỗi cung ứng thẻ quà tặng của công ty. Vụ xâm nhập được phát hiện lần đầu tiên thông qua các mô hình mua hàng bất thường giữa các nhà cung cấp, báo hiệu rằng tin tặc đang tích cực khai thác hàng tồn kho trong khi rút tiền vào các ví bên ngoài. Bitrefill đã phản ứng bằng cách tạm ngừng hoạt động hệ thống của mình — một động thái phức tạp đối với một nền tảng toàn cầu xử lý hàng ngàn sản phẩm và luồng thanh toán — để hạn chế thiệt hại. Vụ xâm phạm cũng làm lộ khoảng 18.500 hồ sơ mua hàng, bao gồm địa chỉ email, chi tiết thanh toán tiền điện tử và siêu dữ liệu IP. Khoảng 1.000 trong số các hồ sơ đó chứa tên người dùng được mã hóa. Tuy nhiên, công ty nhấn mạnh rằng không có bằng chứng nào cho thấy toàn bộ cơ sở dữ liệu khách hàng của họ đã bị đánh cắp, lưu ý rằng những kẻ tấn công chỉ thực hiện các truy vấn có giới hạn và nhắm mục tiêu chứ không phải thực hiện việc đánh cắp dữ liệu quy mô lớn. Thiệt hại tài chính được kiểm soát, hoạt động được khôi phục. Mặc dù Bitrefill chưa tiết lộ chính xác số tiền điện tử bị đánh cắp, nhưng công ty đã xác nhận rằng tất cả các khoản lỗ sẽ được bù đắp bằng vốn hoạt động, bảo vệ người dùng khỏi tác động tài chính trực tiếp. Công ty đã khôi phục hầu hết các dịch vụ của mình, với các khoản thanh toán, kho hàng và tài khoản người dùng hoạt động trở lại. Doanh số bán hàng cũng đã trở lại mức bình thường, cho thấy niềm tin của khách hàng vẫn được duy trì bất chấp sự cố.

Bitrefill mô tả vụ tấn công là vụ vi phạm an ninh lớn đầu tiên của họ trong hơn một thập kỷ hoạt động, nhấn mạnh rằng họ vẫn có lợi nhuận và ổn định tài chính đủ để bù đắp các tổn thất.

Mối đe dọa Lazarus làm nổi bật các phương thức tấn công đang phát triển

Sự cố này nhấn mạnh một thực tế dai dẳng trong an ninh tiền điện tử: ngay cả khi các nền tảng tăng cường phòng thủ, các tác nhân tinh vi liên kết với nhà nước vẫn tiếp tục khai thác các lỗ hổng về con người và hoạt động.

Nhóm Lazarus từ lâu đã được coi là lực lượng tin tặc đáng gờm nhất trong không gian tiền điện tử, trước đây đã nhắm mục tiêu vào các nền tảng lớn và thực hiện các vụ khai thác quy mô hàng tỷ đô la.

Trong trường hợp này, cuộc tấn công không dựa vào các lỗ hổng hợp đồng thông minh hay điểm yếu của giao thức, mà thay vào đó là thiết bị bị xâm nhập và thông tin đăng nhập bị lộ — một lời nhắc nhở rằng bảo mật ngoài chuỗi vẫn là một điểm yếu quan trọng.

Đang tiến hành nâng cấp bảo mật

Để đối phó, Bitrefill đã nâng cấp đáng kể tư thế an ninh mạng của mình. Công ty đang tiến hành kiểm thử xâm nhập rộng rãi với các chuyên gia bên ngoài, thắt chặt kiểm soát truy cập nội bộ và tăng cường giám sát hệ thống để phát hiện các mối đe dọa sớm hơn.

Bitrefill cũng đã tinh chỉnh các quy trình ứng phó sự cố của mình, bao gồm cả các cơ chế tắt máy tự động để hạn chế thiệt hại trong tương lai.

Làm việc cùng với các cơ quan thực thi pháp luật, các nhà phân tích chuỗi khối và các công ty bảo mật, Bitrefill đang tiếp tục điều tra đồng thời kêu gọi người dùng thận trọng với các thông tin liên lạc đáng ngờ.

Vụ vi phạm này cuối cùng đã nêu bật một bài học nghiêm túc cho ngành công nghiệp: trong một môi trường mà hàng tỷ đô la có thể được chuyển ngay lập tức, chỉ cần một chiếc máy tính xách tay bị xâm nhập cũng có thể mở ra cánh cửa cho một cuộc tấn công quy mô lớn.