Платформа для электронной коммерции Bitrefill, работающая с криптовалютой, публично обвинила хакеров, спонсируемых государством Северной Кореи, во взломе своих систем и краже примерно 18 500 записей о покупках клиентов. Компания, которая позволяет пользователям покупать подарочные карты и пополнять счет мобильного телефона с помощью биткойна и других криптовалют, раскрыла инцидент после обнаружения несанкционированного доступа к панели поддержки клиентов. Сообщается, что скомпрометированные данные включают адреса электронной почты клиентов, суммы заказов и типы приобретенных подарочных карт, но что важно, не включают более конфиденциальную финансовую информацию, такую как данные для оплаты, пароли или физические адреса. Этот инцидент подчеркивает постоянную и финансово мотивированную киберугрозу, исходящую от северокорейских хакерских групп, которые, как известно, нацелены на криптовалютные сервисы для финансирования операций режима.
Методология атаки, как подробно описала Bitrefill, включала подбор учетных данных (credential stuffing). Злоумышленники использовали список ранее скомпрометированных комбинаций логинов и паролей для получения доступа к системе поддержки клиентов. Эта техника эксплуатирует распространенную привычку пользователей повторно использовать пароли на множестве онлайн-сервисов. В то время как основные финансовые системы и криптовалютные кошельки Bitrefill не были скомпрометированы, взлом панели поддержки предоставил злоумышленникам ценный набор данных. Аналитики безопасности предполагают, что эта информация о клиентах и заказах может быть использована для высокотаргетированных фишинговых кампаний, уточнения учетных данных для дальнейших атак или даже для анализа рынка с целью понимания моделей расходования криптовалют.
Атрибуция атаки Северной Корее, в частности группе Lazarus, основана на тактическом анализе используемых шаблонов атак и инфраструктуры. Команда безопасности Bitrefill в сотрудничестве с внешними компаниями, занимающимися разведкой угроз, отследила активность до инфраструктуры и инструментов, обычно связанных с северокорейскими APT-группами (Advanced Persistent Threat). Группа Lazarus печально известна своей причастностью к крупным киберограблениям, включая взлом Sony Pictures в 2014 году и атаку программ-вымогателей WannaCry в 2017 году, но в последнее время все больше сосредотачивается на опустошении криптовалютных бирж и платформ. Этот сдвиг соответствует отчетам ООН, в которых подробно описывается, как Северная Корея использует украденные цифровые активы для обхода международных санкций и финансирования своих программ по разработке оружия.
Для сообщества кибербезопасности и пользователей криптовалют утечка данных Bitrefill служит критическим напоминанием об изменяющемся ландшафте угроз. Это подчеркивает необходимость надежных методов безопасности, выходящих за рамки основных финансовых систем, поскольку вспомогательные службы, такие как порталы поддержки клиентов, могут стать прибыльными целями. Компаниям настоятельно рекомендуется повсеместно применять многофакторную аутентификацию (MFA), отслеживать атаки с подбором учетных данных и обучать пользователей гигиене паролей. Для частных лиц этот инцидент подтверждает необходимость использования уникальных надежных паролей для каждого сервиса и сохранения бдительности против изощренных фишинговых атак, которые могут использовать украденные персональные данные, такие как история покупок.
