泄露事件揭示交易和用户数据
Bitrefill确认此次攻击发生在3月1日,调查显示存在恶意软件痕迹,并识别出与此前关联的朝鲜支持的网络攻击有关的IP和电子邮件地址。
根据Bitrefill的进一步消息,攻击者未能成功访问用户账户或直接获取任何财务验证文件。公司重申了保护客户隐私的强烈承诺,强调将KYC信息保存在核心平台之外是出于安全考虑。
攻击过程回顾
此次网络攻击始于一名员工的笔记本电脑被攻破。入侵者利用遗留的登录凭证和过时的访问密钥,进一步渗透Bitrefill的基础设施。通过这种未授权的访问,攻击者转移了公司热钱包中的资产,并通过平台内的礼品卡供应商下达了可疑订单。事件调查显示,所使用的恶意软件、反复出现的IP和电子邮件地址,以及与臭名昭著的拉扎鲁斯集团匹配的交易模式,都为此次攻击提供了线索,表明这一事件与朝鲜支持的黑客组织有关。
Bitrefill后来发现,关键的漏洞源于系统中保留了一个未使用的访问凭证。攻击者捕获了系统的快照,连同过时的凭证,使得攻击得以在公司网络中扩散。
响应与补救措施
一旦发现泄露,Bitrefill迅速将所有系统下线。在为期两周的内部审查和安全整改后,公司的几乎所有服务在3月17日恢复。支付操作、用户账户和产品库存再次可用。Bitrefill宣布将全额赔偿由其自身资源造成的财务损失,并向用户保证在此次攻击中客户余额未受影响且安全。
在事件发生后,Bitrefill与网络安全公司zeroShadow和SEAL911建立了合作关系,并开始加强内部访问控制,以防范未来的威胁。
拉扎鲁斯集团对加密平台的持续威胁
拉扎鲁斯集团是一个与朝鲜政权有关的网络犯罪组织,多年来对加密行业发起了多次攻击。该组织被指控盗窃数十亿美元的数字资产,据信将这些资金用于朝鲜的武器项目。最近的Bitrefill事件凸显了拉扎鲁斯的策略,不仅针对大型交易所,还包括在不断发展的加密生态系统中运营的中型平台。
在Bitrefill的案例中,将身份验证数据存储在主平台之外有助于减少损害。然而,泄露最终还是依赖于一个被忽视的账户凭证,成为攻击者进入公司整个网络的门户。