加密货币服务商Bitrefill于3月1日遭遇网络攻击,导致部分加密货币资金被盗。公司深入调查后发现,此次攻击的多个迹象与朝鲜(DPRK)相关联的Lazarus/Bluenoroff黑客组织惯用的作案手法高度吻合。
Bitrefill方面表示,攻击者在作案手法、恶意软件使用、链上追踪模式以及IP和邮箱地址的重复使用等方面,均呈现出与该组织过往攻击行为的一致性。
**Bitrefill网络攻击事件详情**
据公司披露,此次安全事件源于一名员工的笔记本电脑被攻破,黑客窃取了其中存储的旧版登录凭证。凭借这些凭证,攻击者成功获取了包含生产环境敏感信息的快照,并借此进一步扩大了其在Bitrefill系统内的访问权限,最终触及了部分数据库和加密货币钱包。
事件发生后,Bitrefill已与多家外部网络安全专家、应急响应团队、区块链分析师以及执法机构展开紧密合作。
公司强调,目前没有证据表明客户数据是此次攻击的主要目标。根据日志分析,攻击者仅执行了有限的数据库查询,其行为模式更像是为了探测可提取信息而进行的试探性操作,这些信息包括加密货币和礼品卡库存。Bitrefill补充说明,其存储的个人数据量极少,且不强制要求用户进行KYC(了解你的客户)验证,即使有验证信息也由第三方服务商托管。
尽管如此,Bitrefill确认,约有18,500条购买记录的访问权限被非法获取,其中包括电子邮件地址、加密货币支付地址以及IP地址等元数据。对于大约1,000名提供了姓名以购买特定产品的客户,虽然相关信息经过加密处理,但鉴于加密密钥可能暴露的风险,Bitrefill将其视为潜在的泄露事件,并已对这些用户进行了单独通知。
Bitrefill目前认为客户无需采取特别行动,但建议用户对任何与Bitrefill或加密货币相关的意外通讯保持警惕。
为应对此次事件,Bitrefill已全面加强了安全措施,包括进行更深入的外部网络安全审查和渗透测试、收紧内部访问控制、升级监控和日志记录系统,并优化了事件响应流程。公司表示,此次事件造成的财务损失将由其运营资本承担,并且大部分服务(包括支付和库存管理)已恢复正常。
**Lazarus组织的破坏性活动**
Lazarus组织,被广泛认为是与朝鲜政府有关联的黑客团体,近年来在全球范围内发动了多起引人注目的网络攻击,其攻击目标广泛,涵盖金融机构、加密货币交易所、政府部门以及个人用户。该组织的攻击手法多样,常利用网络钓鱼、社会工程学以及零日漏洞等方式,其最终目的往往是为了窃取资金以支持朝鲜的非法活动。此次Bitrefill事件再次印证了Lazarus组织在网络安全领域构成的严重威胁。