يشتبه في قيام قراصنة مرتبطين بكوريا الشمالية باختراق Bitrefill الذي أدى إلى استنزاف المحافظ

وكشفت شركة Bitrefill أنها تعرضت لهجوم إلكتروني في الأول من مارس، مما أدى إلى سرقة أموال العملات المشفرة، وقالت إن تحقيقها وجد مؤشرات متعددة تربط الحادث بالتكتيكات التي تستخدمها مجموعة Lazarus/Bluenoroff المرتبطة بكوريا الديمقراطية.

وذكرت الشركة أن أوجه التشابه في أساليب المهاجمين والبرامج الضارة وأنماط التتبع على السلسلة وإعادة استخدام عناوين IP والبريد الإلكتروني تتوافق مع العمليات السابقة المنسوبة إلى المجموعة.

الهجوم السيبراني Bitrefill

وفقًا للشركة، فقد نشأ الاختراق من جهاز كمبيوتر محمول خاص بموظف مخترق، حيث تم استخراج بيانات الاعتماد القديمة. وسمحت بيانات الاعتماد هذه بالوصول إلى لقطة تحتوي على أسرار الإنتاج، والتي استخدمها المهاجمون بعد ذلك لتوسيع نطاق وصولهم عبر أنظمة Bitrefill. وقد مكنهم ذلك من الوصول إلى أجزاء من قاعدة البيانات ومحافظ معينة للعملات المشفرة.

وفي أحدث تغريدة لها، قالت Bitrefill إنها حددت الحادث لأول مرة بعد اكتشاف أنماط شراء غير عادية تشمل بعض الموردين، مما يشير إلى إساءة استخدام مخزون بطاقات الهدايا وتدفقات التوريد الخاصة بها. وفي الوقت نفسه، لاحظت أنه تم استنزاف بعض المحافظ الساخنة، وتم إرسال الأموال إلى العناوين التي يسيطر عليها المهاجمون. وبمجرد تأكيد الاختراق، قامت الشركة بإغلاق جميع الأنظمة لاحتواء الموقف.

بعد الحادث، أكدت Bitrefill أنها تعمل مع خبراء خارجيين في مجال الأمن السيبراني، وفرق الاستجابة للحوادث، ومحللي blockchain، وإنفاذ القانون.

وقالت الشركة إنه لا يوجد ما يشير إلى أن بيانات العملاء كانت محور التركيز الرئيسي للهجوم. ووفقًا لسجلاته، أجرى المهاجمون عددًا محدودًا من استعلامات قاعدة البيانات المتوافقة مع نشاط التحقيق لتحديد ما يمكن استخراجه. وشمل ذلك مخزون العملات المشفرة وبطاقات الهدايا. وأضافت Bitrefill أنها تخزن الحد الأدنى من البيانات الشخصية ولا تتطلب عملية KYC إلزامية، مع أي معلومات تحقق يحتفظ بها مزود خارجي.

ومع ذلك، فقد أكدت أنه تم الوصول إلى حوالي 18500 سجل شراء، بما في ذلك عناوين البريد الإلكتروني وعناوين الدفع بالعملات المشفرة والبيانات الوصفية مثل عناوين IP. وفي ما يقرب من 1000 حالة قدم فيها العملاء أسماء لمنتجات معينة، تم تشفير المعلومات، لكن الشركة تتعامل معها على أنها محتملة الوصول إليها بسبب التعرض المحتمل لمفاتيح التشفير. وقد تم إخطار هؤلاء المستخدمين.

قالت Bitrefill إنها لا تعتقد حاليًا أن العملاء بحاجة إلى اتخاذ إجراء محدد، لكنها نصحت باليقظة فيما يتعلق بأي اتصالات غير متوقعة تتعلق بـ Bitrefill أو العملة المشفرة.

وأضافت الشركة أنها عززت إجراءاتها الأمنية، بما في ذلك إجراء المزيد من مراجعات الأمن السيبراني الخارجي واختبار الاختراق، وتشديد ضوابط الوصول الداخلية، وتحسين أنظمة المراقبة والتسجيل، وتحسين إجراءات الاستجابة للحوادث. وقالت إنه سيتم تغطية الخسائر المالية من رأسمالها التشغيلي، وأنه تمت استعادة معظم الخدمات، بما في ذلك المدفوعات والمخزون.

لازاروس الخراب

على الرغم من قيام العديد من منصات العملات المشفرة بتعزيز أطرها الأمنية في السنوات الأخيرة، إلا أن الجهات الفاعلة في مجال التهديد تواصل تجاوز وسائل الحماية. لا تزال مجموعة Lazarus هي الخصم الأكثر استمرارًا وخطورة في هذا القطاع، وهي المسؤولة عن أكبر اختراق للعملات المشفرة على الإطلاق بعد سرقة 1.4 مليار دولار من Bybit في فبراير 2025.

قال محقق بلوكتشين ZachXBT سابقًا إن الانتهاكات التي شملت منصات مثل Bybit وDMM Bitcoin وWazirX أدت إلى غسل الأموال المسروقة بسهولة. وأضاف المحقق أن مجموعات غسيل الأموال “كسبت المعركة على ما يبدو” بشأن الإنفاذ.

منشور يشتبه في قيام قراصنة مرتبطين بكوريا الشمالية باختراق Bitrefill الذي أدى إلى استنزاف المحافظ، ظهر لأول مرة على CryptoPotato.