Bitrefill зазнав цілеспрямованого проникнення з боку групи Лазарюса, його гаманці були очищені, понад 18 500 записів під загрозою, знову з’являються загрози від хакерів з Північної Кореї.
Від співробітницьких ноутбуків до виробничих секретів: цілеспрямоване проникнення групи Лазарюса
Криптовалютна платформа для електронної комерції Bitrefill 17 березня опублікувала офіційний звіт розслідування, що розкриває, що 1 березня компанія зазнала високопрофесійної кібератаки. За результатами дослідження, ця атака має високий ступінь схожості з діями підтримуваної Північної Кореї хакерської групи «Лазарюс» (Lazarus Group) та її підрозділу Bluenoroff.
У звіті Bitrefill зазначає, що методи атаки, ознаки шкідливого програмного забезпечення, потоки коштів у блокчейні, а також повторне використання IP-адрес та електронних листів вказують на активність цієї північнокорейської організації, що працює у криптоіндустрії. Початок проникнення був зумовлений зломом особистого ноутбука співробітника, з якого хакери викрали старі облікові дані, пов’язані з виробничими системами.
Джерело зображення: X/@bitrefill Платформа для електронної комерції Bitrefill оприлюднила звіт щодо кібератаки 1 березня
Хоча ці облікові дані вже були застарілими, вони стали ключем до проникнення у ядро системи Bitrefill. За допомогою доступу до знімків систем виробництва, зловмисники отримали підвищені привілеї та здійснили горизонтальний рух у внутрішній інфраструктурі компанії. Після цього хакери націлилися на частину внутрішніх баз даних і конкретних гарячих гаманців криптовалют. Такий спосіб проникнення з одного пристрою з подальшим здобуттям виробничих секретів є типовою тактикою групи Лазарюса, що відображає серйозність викликів для компаній у сфері управління застарілими обліковими даними та безпекою кінцевих точок. Bitrefill підкреслює, що, хоча вразливості вже закриті та посилено захист, рівень професіоналізму хакерів свідчить про довгострокову цілеспрямовану операцію.
Аномалії у ланцюгу постачання викрили проникнення, гаманці та запаси подарункових карт були пограбовані
Ця атака була виявлена спочатку через аномальну поведінку на стороні бізнесу. Команда безпеки Bitrefill виявила незвичайні покупки у транзакціях між платформою та постачальниками. Детальне розслідування підтвердило, що хакери використовують запаси подарункових карт і канали ланцюга постачання для нелегального зняття коштів. Водночас, кошти з кількох внутрішніх гаманців були почали переказуватися на зовнішні адреси, контрольовані зловмисниками. У відповідь на цю негайну кібератаку, Bitrefill швидко вивів усі системи з мережі, щоб запобігти подальшому поширенню шкоди. Оскільки платформа пропонує тисячі товарів, різні способи оплати та працює у кількох країнах, процес очищення безпеки та перезапуск систем зайняв понад два тижні.
Щодо фінансових втрат, точна сума ще не розголошена, але Bitrefill підтвердив, що гаманці були очищені. Під час перебування у системі хакери здійснили кілька цілеспрямованих запитів, щоб підтвердити наявність активів для крадіжки, включаючи запаси криптовалют і подарункових карт.
Bitrefill зазначає, що дії хакерів були дуже ефективними, що свідчить про глибоке розуміння роботи платформи. Компанія співпрацює з кількома професійними командами, зокрема zeroShadow, SEAL911 (SEAL Org) та RecoverisTeam, щоб відстежувати рух коштів у блокчейні та проводити цифрову експертизу та очищення уражених серверів.
1.85 тисяч записів покупок під загрозою витоку даних
Крім фінансових втрат, безпека даних клієнтів також викликає занепокоєння. Згідно з дослідженням Bitrefill, хоча хакери не вивели повну базу даних, близько 18 500 записів покупок були доступні. **Ці витоки містять електронні адреси клієнтів, криптогаманці, IP-адреси та інші метадані. Близько 1 000 записів містять імена клієнтів, які зберігаються у зашифрованому вигляді, але оскільки хакери могли отримати й ключі шифрування, Bitrefill обережно ставиться до цієї інформації, вважаючи її потенційно скомпрометованою, і вже повідомила постраждалих користувачів через електронну пошту.
Bitrefill підкреслює, що у своїй бізнес-моделі намагається мінімізувати збір особистих даних клієнтів (PII), що обмежує шкоду у разі інциденту.
Платформа не вимагає від більшості користувачів проходження обов’язкової ідентифікації (KYC), а у разі необхідності всі документи та дані обробляються сторонніми постачальниками та не зберігаються у внутрішніх системах компанії. Аналіз логів показує, що головною метою хакерів були саме активи, а не база даних, оскільки запити здебільшого стосувалися інвентаризації активів. Однак, постраждалі користувачі мають бути обережними щодо можливих фішингових листів або шахрайських повідомлень, пов’язаних із криптовалютами.
Повне відновлення роботи, компанія бере на себе збитки
Зараз глобальна робота Bitrefill відновлена, включаючи платіжні функції, поповнення запасів і доступ до акаунтів. Компанія заявляє, що її фінансовий стан стабільний і прибутковий у довгостроковій перспективі, тому всі збитки від атаки буде покрито за рахунок операційних коштів. Всі баланси користувачів залишаються безпечними та не постраждали, капітал компанії достатній для подолання цієї кризи. Для посилення захисту вже впроваджено більш жорсткий внутрішній контроль доступу, автоматизовані системи моніторингу та оновлено план реагування на надзвичайні ситуації і закриття систем, щоб швидше реагувати на підозрілі активності та уникнути повномасштабних збоїв через злом одного пристрою.
Ця подія ще раз підкреслює серйозність загрози з боку північнокорейських хакерів для криптоіндустрії. За даними Chainalysis, у 2025 році організації, пов’язані з Північною Кореєю, викрали понад 2,02 мільярда доларів у криптовалютах, що становить 59% від загальної суми незаконних коштів за цей рік.
Джерело зображення: Chainalysis У 2025 році організації, пов’язані з Північною Кореєю, викрали понад 2,02 мільярда доларів у криптовалютах
Зокрема, у 2025 році група Лазарюса здійснила історичну атаку на Bybit на суму до 1,5 мільярда доларів, а також здійснила злом Upbit (3,2 мільйона) і CoinDCX (4,4 мільйона). Оскільки Північна Корея продовжує використовувати викрадені кошти для фінансування своїх військових програм, галузь криптовалют стикається з дедалі більшою загрозою національної безпеки. Bitrefill заявляє, що продовжить проводити зовнішні аудити безпеки та тестування проникнення, щоб зберегти стійкість у боротьбі з професійними хакерами.
Додаткові матеріали
Американські санкції проти північнокорейських ІТ-шахраїв! Нелегальні доходи до 800 мільйонів доларів, усі йдуть на масштабні військові програми
2025 рік став найтемнішою сторінкою у криптовалютних злочинах! Хакери викрали 6,5 мільярда доларів, більшість злочинів — під керівництвом Північної Кореї
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
