Bitrefillは、3月1日に発生したセキュリティ侵害に関する包括的な報告書を発表し、これはラザルスグループと呼ばれる北朝鮮のハッキング集団の仕業であると考えている。.
ラザルス・グループは、昨年初めにBybitを襲撃し、10億ドル以上を盗み出したことで、仮想通貨史上最大の単独窃盗事件
同社は事件の発生dent については透明性をもって説明したが、盗まれた正確な金額は明らかにしなかった。Bitrefill社は、従業員のノートパソコンが不正アクセスを受けたことで、複数のホットウォレットから資金が流出したと主張している。.
Bitrefillはハッキングされたことを隠していたのか?
Bitrefillは、3月1日に発生したセキュリティ侵害に関する包括的な事後分析報告書を公開した。同社は、使用されたマルウェアの種類、攻撃者の手口、盗まれた資金のオンチェーン trac、北朝鮮の活動に関連付けられていた特定のIPアドレスとメールアドレスの再利用など、調査した証拠に基づき、この攻撃はLazarus GroupまたはBluenoroffとして知られる北朝鮮のハッキンググループによるものだと正式に断定した。.
このdent 、従業員のノートパソコンが不正アクセスを受け、ハッカーが古いdent情報にアクセスするための最初の侵入経路として利用されたことから始まった。このdent情報によって、攻撃者は業務上の機密情報を含む社内システムのスナップショットにアクセスできた。.
これらの秘密情報を入手したラザルス・グループはビットリフィルのインフラ全体にアクセス権を拡大することに成功した。最終的に、彼らは同社のデータベースの一部と複数の仮想通貨ホットウォレットにまで到達した。
Bitrefillのセキュリティチームは、サプライヤーに関わる「不審な購買パターン」を通じて、最初に情報漏洩に気づいた。攻撃者は同社のギフトカード在庫と供給ルートを悪用していた。
同時に、同社は自社のホットウォレットから資金が流出し、攻撃者が管理するウォレットに移動されていることに気づいた。.
これに対し、Bitrefillは脅威を封じ込めるため直ちに全てのシステムをオフラインにしたが、同社のグローバルな電子商取引ネットワークには数千もの商品と数十のサプライヤーが存在するため、インフラを安全にシャットダウンして再起動するプロセスには2週間以上を要した。.
Bitrefillの情報漏洩事件で、どれだけの金額が盗まれたのか?
Bitrefillの調査によると、ハッカーたちは顧客データの窃盗にはあまり関心がなかったことが明らかになった。そもそも、彼らにそれが可能だったとは考えにくい。同社は、自社のビジネスモデルは個人情報をほとんど保存しないように設計されていることを強調した。ほとんどのユーザーに対して「顧客確認(KYC)」書類の提出を義務付けておらず、上位レベルの認証に必要なデータは外部プロバイダーによって管理されており、侵害されたシステムには保存されていなかった。.
しかし、攻撃者は約18,500件の購入記録にアクセスした。これらの記録には、顧客のメールアドレス、仮想通貨の支払いアドレス、IPアドレスなどのメタデータが含まれていた。.
Bitrefillの顧客のうち、特定の商品に名前を入力する必要があった約1,000人のデータが暗号化された。しかし、ハッカーが暗号化キーにアクセスした可能性があるため、Bitrefillはこのデータを侵害された可能性があるとみなし、既に影響を受けた顧客にメールを送信している。
Bitrefillは、財務上の損失について、その影響を吸収すると発表した。ホットウォレットの資金は流出したものの、同社は十分な資金を確保しており、ここ数年間黒字経営を続けていると述べている。すべてのユーザーの残高は安全であり、影響を受けていない。.
Bitrefillは、Zeroshadow、SEAL Org、Recoveris Teamなど、複数の著名なセキュリティ関連組織と協力し、ブロックチェーン上で盗まれた資金の流れをマッピングしました。また、同社のサーバーのフォレンジック調査によるデータ消去も支援しました。.
Bitrefillはその後、内部アクセス制御を強化し、単一の侵害がシステム全体の侵害につながることがないよう対策を講じた。また、不審なデータベース要求に迅速に対応できるよう、シャットダウン手順も改善した。.
同社はまた、残存する脆弱性を発見するため、外部の専門家と協力して徹底的なペネトレーションテスト(侵入テスト)を引き続き実施していると述べた。現在、決済、在庫補充、アカウント機能など、ほぼすべてのサービスが正常に戻っている。.
