Компания Bitrefill опубликовала подробный отчет о взломе системы безопасности, произошедшем 1 марта, и считает, что это дело рук северокорейской хакерской группы Lazarus Group.
Группа Lazarus также ответственна за крупнейшее единовременное ограбление в истории криптовалют, когда в начале прошлого года она похитила у Bybit более 1 миллиарда долларов.
Компания прозрачно объяснила обстоятельстваdent , но не раскрыла точную сумму украденных средств. Bitrefill утверждает, что доступ к её сети был получен через взломанный ноутбук сотрудника, в результате чего были опустошены несколько горячих кошельков.
Скрыла ли компания Bitrefill информацию о взломе?
Компания Bitrefill опубликовала подробный анализ последствий взлома системы безопасности, начавшегося 1 марта. Компания официально возложила вину за атаку на северокорейскую хакерскую группу, известную как Lazarus Group или Bluenoroff, на основании изученных ею доказательств, основанных на конкретном используемом вредоносном ПО, методах действий злоумышленников, tracукраденных средств в блокчейне и повторном использовании определенных IP-адресов и адресов электронной почты, ранее связанных с северокорейскими операциями.
dent начался с того, что ноутбук сотрудника был взломан и использован хакерами в качестве начальной точки входа для получения доступа к устаревшимdentданным. Эти учетныеdentпредоставили злоумышленникам доступ к снимку систем компании, содержащему производственные секреты.
Получив эти секреты, группа Lazarus смогла распространить свой доступ по всей инфраструктуре Bitrefill. В конечном итоге они получили доступ к части базы данных компании и нескольким криптовалютным горячим кошелькам.
Команда безопасности Bitrefill впервые обнаружила взлом благодаря «подозрительным схемам закупок» у поставщиков. Злоумышленники использовали в своих целях запасы подарочных карт компании и цепочки поставок.
Одновременно с этим компания обнаружила, что средства выводятся из их горячих кошельков и переводятся на кошельки, контролируемые злоумышленниками.
В ответ на это Bitrefill немедленно отключила все системы, чтобы локализовать угрозу, но из-за того, что глобальная сеть электронной коммерции компании насчитывает тысячи товаров и десятки поставщиков, процесс безопасного отключения и перезагрузки инфраструктуры занял более двух недель.
Сколько денег было украдено во время взлома Bitrefill?
Расследование Bitrefill показало, что хакеры не были особо заинтересованы в краже данных клиентов; вряд ли им это удалось бы. Компания подчеркнула, что ее бизнес-модель предполагает хранение очень небольшого количества личной информации. Она не требует обязательной проверки «Знай своего клиента» (KYC) для большинства пользователей, а данные, предоставляемые для проверки более высокого уровня, обрабатываются внешним поставщиком и не хранились в взломанных системах.
Однако злоумышленники получили доступ примерно к 18 500 записям о покупках. Эти записи включали адреса электронной почты клиентов, адреса для оплаты криптовалютой и метаданные, такие как IP-адреса.
около 1000 клиентов Bitrefill , которым нужно было указывать названия конкретных товаров, были зашифрованы. Однако, поскольку хакеры могли получить доступ к ключам шифрования, Bitrefill рассматривает эти данные как потенциально скомпрометированные и уже отправила электронные письма пострадавшим.
Что касается финансовых потерь, Bitrefill объявила, что возьмет их на себя. Несмотря на то, что средства с горячих кошельков были опустошены, компания заявила, что остается хорошо финансируемой и прибыльной на протяжении нескольких лет. Все балансы пользователей остаются в безопасности и не затронуты.
Компания Bitrefill сотрудничала с несколькими известными организациями в сфере безопасности, включая Zeroshadow, SEAL Org и команду Recoveris, чтобы отследить перемещение украденных средств в блокчейне. Они также оказали помощь в проведении криминалистической очистки серверов компании.
С тех пор Bitrefill ужесточила внутренний контроль доступа, чтобы гарантировать, что единичный взлом не приведет к полному нарушению безопасности системы. Компания также улучшила процедуры завершения работы, чтобы быстрее реагировать на подозрительные запросы к базе данных.
Компания также заявила, что продолжает проводить тщательные тесты на проникновение с привлечением внешних экспертов для выявления любых оставшихся уязвимостей. В настоящее время почти все сервисы, включая платежи, пополнение запасов и функции учетной записи, вернулись в нормальное состояние.
