Группа Lazarus снова атакует! Ноутбук сотрудника Bitrefill взломан, средства горячего кошелька украдены

Криптовалютная торговая платформа Bitrefill 18 марта раскрыла в X, что 1 марта она подверглась кибератаке, которая полностью совпадает с известными характеристиками группы Lazarus из Северной Кореи. Хакеры взломали ноутбук одного из сотрудников, после чего похитили средства из горячего кошелька компании и получили доступ к 18 500 записям о покупках.

Путь атаки: от ноутбука сотрудника к горячему кошельку

Раскрытие Bitrefill показывает многоуровневый маршрут проникновения: сначала злоумышленники внедрили вредоносное ПО в устройство сотрудника, а затем использовали его как точку опоры для горизонтального проникновения в горячий кошелек компании. Такой сценарий «конечное устройство — входные ворота, основные активы — цель» соответствует известным методам группы Lazarus и связанной с ней группы BlueNoroff.

Bitrefill указывает, что группа BlueNoroff, вероятно, участвовала в этом инциденте или даже является единственным злоумышленником. В части доступа к данным злоумышленники ограниченно запросили информацию из базы данных покупок, главным образом чтобы «выявить возможные украденные активы, включая криптовалюты и запасы подарочных карт». Компания подчеркивает, что нет доказательств полного извлечения базы данных, а мотивом атаки является финансовая выгода.

Влияние на клиентов: ограниченная утечка информации, восстановление сервиса

Злоумышленники получили доступ к 18 500 записям о покупках. Bitrefill заявил, что это могло привести к «ограниченной утечке клиентской информации», однако не обнаружено признаков масштабного извлечения базы данных. Компания заявила: «Практически все сервисы восстановлены — платежи, запасы и аккаунты работают нормально, объем продаж вернулся к обычным уровням».

Меры безопасности: участие четырех компаний по кибербезопасности, полное обновление системы защиты

После инцидента Bitrefill предприняла ряд мер:

• Немедленная блокировка: в первый же момент отключены соответствующие системы для предотвращения дальнейшего распространения атаки.
• Сообщение правоохранительным органам: связались с соответствующими правоохранительными структурами.
• Сотрудничество с внешними компаниями по кибербезопасности: проведено совместное расследование с Security Alliance, FearsOff Security, Recoveris.io и zeroShadow.
• Укрепление системы: реализованы рекомендации специалистов по информационной безопасности, усилен контроль доступа внутри компании, улучшены механизмы мониторинга для сокращения времени обнаружения и реагирования.

Bitrefill отмечает, что с момента инцидента их меры по обеспечению безопасности значительно улучшились.

Фон группы Lazarus: от Bybit с 1,4 миллиарда до Bitrefill

Группа Lazarus — одна из самых разрушительных угроз в криптоиндустрии, тесно связанная с правительством Северной Кореи. В феврале 2025 года её обвинили в организации крупнейшей в истории кражи криптовалют — с биржи Bybit было украдено до 1,4 миллиарда долларов, что стало крупнейшей кибератакой на криптовалюту в истории.

Этот инцидент с Bitrefill — последний в серии атак, связанных с Lazarus или её аффилированными организациями, после атаки на Bybit. Он вновь подтверждает, что основным способом проникновения остаются устройства сотрудников криптокомпаний.

Часто задаваемые вопросы

Какова основная тактика атаки на Bitrefill?
Атака произошла 1 марта, злоумышленники использовали вредоносное ПО, отслеживание в блокчейне и повторное использование IP-адресов и электронной почты для взлома ноутбука сотрудника, после чего получили доступ к горячему кошельку и похитили средства, а также провели ограниченный запрос к 18 500 записям о покупках.

Почему Bitrefill связывает эту атаку с группой Lazarus?
Потому что использованные методы — внедрение вредоносного ПО, отслеживание в блокчейне и повторное использование инфраструктуры — полностью соответствуют известным характеристикам Lazarus. Также указывается, что связанная с Lazarus группа BlueNoroff могла участвовать или быть единственным злоумышленником.

Утекли ли личные данные клиентов Bitrefill массово?
Компания заявляет, что нет доказательств полного извлечения базы данных злоумышленниками. Они ограниченно запросили информацию о покупках, чтобы определить возможные украденные активы. Тем не менее, доступ к 18 500 записям создает риск утечки некоторой клиентской информации, поэтому рекомендуется следить за возможными аномалиями.