مجموعة Lazarus تهاجم مرة أخرى! تم اختراق جهاز كمبيوتر محمول لموظف Bitrefill، وتم سرقة أموال المحفظة الساخنة

كشفت منصة التجارة الإلكترونية للعملات المشفرة Bitrefill في 18 مارس على منصة X عن تعرضها لهجوم أمني إلكتروني في 1 مارس، حيث تطابقت خصائص أسلوب الهجوم بشكل كبير مع السمات المعروفة لمجموعة القراصنة الكورية الشمالية Lazarus Group. قام القراصنة باختراق جهاز كمبيوتر محمول لموظف، ومن ثم سرقة أموال من المحفظة الساخنة للشركة، والحصول على صلاحية الوصول إلى 18,500 سجل شراء.

مسار الهجوم: من جهاز الموظف إلى التسلل الأفقي إلى المحفظة الساخنة

يكشف تقرير Bitrefill عن مسار التسلل متعدد الطبقات للهجوم: حيث بدأ القراصنة باستخدام برمجيات خبيثة لاختراق جهاز الموظف، ثم استغلوا ذلك كنقطة انطلاق للتسلل بشكل أفقي إلى المحفظة الساخنة للشركة. هذا النهج، الذي يعتمد على “نقطة دخول من الأجهزة الطرفية، وهدف هو الأصول الأساسية”، يتطابق مع أساليب هجمات معروفة لمجموعة Lazarus Group والمنظمة المرتبطة بها BlueNoroff Group.

وأشار Bitrefill إلى أن BlueNoroff Group قد تكون طرفًا مشاركًا في الحادث، وربما تكون المهاجم الوحيد. من ناحية الوصول إلى البيانات، قام المهاجمون بإجراء استعلام محدود على قاعدة بيانات سجلات الشراء، بهدف رئيسي هو “استكشاف الأصول القابلة للسرقة، بما في ذلك العملات المشفرة ومخزون بطاقات الهدايا”. وأكدت الشركة أنه لا توجد أدلة على أن المهاجمين استخرجوا كامل قاعدة البيانات، وأن الدافع الرئيسي للهجوم هو السرقة المالية.

تأثير على العملاء: تسريب محدود للمعلومات، واستعادة كاملة للخدمات

قام المهاجمون بالوصول إلى 18,500 سجل شراء، وأكدت Bitrefill أن هذا قد يؤدي إلى تسريب “معلومات عملاء محدودة”، لكنها لم تلاحظ أي علامات على استخراج قاعدة بيانات ضخمة. وأعلنت الشركة أن “جميع الخدمات تقريبًا عادت إلى وضعها الطبيعي — بما في ذلك عمليات الدفع، والمخزون، والحسابات، وأن حجم المبيعات عاد إلى المستويات الطبيعية.”

الاستجابة الأمنية: تدخل أربع شركات أمنية وتعزيز شامل لنظام الدفاع

بعد الحادث، اتخذت Bitrefill عدة إجراءات استجابة، منها:

• الإغلاق الفوري: إغلاق الأنظمة ذات الصلة على الفور لوقف انتشار الهجوم
• الإبلاغ للسلطات: تواصلت مع الجهات المختصة بالإنفاذ القانون
• التعاون مع شركات أمنية طرف ثالث: تعاونت مع Security Alliance وFearsOff Security وRecoveris.io وzeroShadow للتحقيق
• تعزيز الأنظمة: تنفيذ توصيات خبراء الأمن، وزيادة السيطرة على الوصول الداخلي، وتحسين آليات المراقبة لتقصير زمن الكشف والاستجابة

وأشارت Bitrefill إلى أن تدابيرها الأمنية قد “تحسنت بشكل ملحوظ” منذ وقوع الحادث.

خلفية مجموعة Lazarus: من سرقة بقيمة 1.4 مليار دولار من Bybit إلى هجوم Bitrefill

تُعد مجموعة Lazarus واحدة من أخطر التهديدات في صناعة العملات المشفرة، وتتمتع بعلاقة وثيقة مع الحكومة الكورية الشمالية. في فبراير 2025، وُجهت إليها تهمة تنظيم أكبر سرقة في تاريخ العملات المشفرة، حيث سرقت ما يصل إلى 1.4 مليار دولار من أصول التشفير من بورصة Bybit، وهو أكبر هجوم قرصنة على العملات المشفرة على الإطلاق.

ويُعد هجوم Bitrefill أحدث هجوم يُنسب إلى Lazarus Group أو منظماتها المرتبطة، بعد سرقة Bybit، ويُظهر أن المنظمة تواصل الاعتماد على استهداف موظفي الشركات المشفرة كنقطة دخول رئيسية.

الأسئلة الشائعة

ما هي الأساليب الأساسية في هجوم Bitrefill؟
وقع الهجوم في 1 مارس، حيث استخدم القراصنة برمجيات خبيثة، وتتبع على السلسلة، والبنية التحتية المعاد استخدامها، لاختراق جهاز محمول لموظف، ومن ثم الحصول على صلاحية الوصول إلى المحفظة الساخنة وسرقة الأموال، مع إجراء استعلام محدود على 18,500 سجل شراء.

لماذا تشير Bitrefill إلى مجموعة Lazarus Group في التحقيق؟
أوضحت الشركة أن الأساليب المستخدمة في الهجوم — بما في ذلك نشر البرمجيات الخبيثة، والتتبع على السلسلة، وإعادة استخدام البنية التحتية — تتطابق بشكل كبير مع السمات المعروفة لهجمات Lazarus Group، وأشارت أيضًا إلى أن مجموعة BlueNoroff المرتبطة بشكل وثيق بـ Lazarus قد تكون مشاركة أو المهاجم الوحيد.

هل تم تسريب بيانات شخصية لمستخدمي Bitrefill على نطاق واسع؟
أكدت الشركة أنه لا توجد أدلة على أن المهاجمين استخرجوا كامل قاعدة البيانات، وأنهم قاموا فقط باستعلام محدود بهدف تحديد الأصول المالية القابلة للسرقة. ومع ذلك، فإن الوصول إلى 18,500 سجل شراء يعرض بعض المعلومات المحدودة للعملاء لخطر التسريب، وينصح المستخدمون بمراقبة أي أنشطة غير معتادة.