هکرهای مرتبط با کره شمالی مظنون به حمله به بیت‌رفیل و سرقت کیف پول‌ها هستند.

بیت‌رفیل اعلام کرد که در تاریخ ۱ مارس هدف یک حمله سایبری قرار گرفته که منجر به سرقت وجوه رمز ارز شده است. این شرکت در تحقیقات خود به شاخص‌های متعددی دست یافته که این حادثه را به تاکتیک‌های مورد استفاده گروه لازاروس/بلونوروف وابسته به کره شمالی مرتبط می‌کند.

این شرکت بیان کرد که شباهت‌هایی در روش‌های مهاجمان، بدافزارها، الگوهای ردیابی در زنجیره، و استفاده مجدد از آدرس‌های IP و ایمیل وجود دارد که با عملیات‌های قبلی منتسب به این گروه مطابقت دارد.

حمله سایبری به بیت‌رفیل

به گفته شرکت، این نفوذ از طریق لپ‌تاپ یکی از کارکنان که اطلاعات کاربری قدیمی آن به سرقت رفته بود آغاز شد. این اطلاعات به مهاجمان اجازه داد به یک اسنپ‌شات حاوی اسرار تولیدی دسترسی پیدا کنند و سپس با استفاده از آن، دسترسی خود را در سراسر سیستم‌های بیت‌رفیل گسترش دهند. این امر به آن‌ها امکان داد به بخش‌هایی از پایگاه داده و برخی کیف پول‌های رمز ارز دسترسی پیدا کنند.

در تازه‌ترین اطلاعیه، بیت‌رفیل اعلام کرد که ابتدا با شناسایی الگوهای خرید غیرعادی توسط برخی تأمین‌کنندگان متوجه وقوع حادثه شد؛ این موضوع نشان‌دهنده سوءاستفاده از موجودی کارت هدیه و جریان تأمین کالا بود. همزمان مشاهده شد که برخی کیف پول‌های گرم تخلیه شده و وجوه به آدرس‌هایی که تحت کنترل مهاجمان بود منتقل شده است. پس از تأیید نفوذ، شرکت تمامی سیستم‌ها را برای مهار وضعیت خاموش کرد.

پس از این حادثه، بیت‌رفیل تأیید کرد که با کارشناسان امنیت سایبری خارجی، تیم‌های واکنش به حادثه، تحلیل‌گران بلاکچین و نیروهای انتظامی همکاری داشته است.

این شرکت اعلام کرد هیچ نشانه‌ای وجود ندارد که داده‌های مشتریان هدف اصلی حمله بوده باشد. طبق لاگ‌های شرکت، مهاجمان تعداد محدودی کوئری به پایگاه داده اجرا کردند که با فعالیت‌های شناسایی برای استخراج اطلاعات قابل دسترسی مطابقت دارد. این موارد شامل موجودی رمز ارز و کارت هدیه بوده است. بیت‌رفیل افزود که حداقل اطلاعات شخصی را ذخیره می‌کند و احراز هویت اجباری ندارد؛ هرگونه اطلاعات تأیید هویت نیز توسط ارائه‌دهنده‌ای خارجی نگهداری می‌شود.

با این حال، شرکت تأیید کرد که حدود ۱۸٬۵۰۰ رکورد خرید شامل آدرس‌های ایمیل، آدرس‌های پرداخت رمز ارز و متادیتاهایی مانند آدرس IP مورد دسترسی قرار گرفته است. در حدود ۱٬۰۰۰ مورد که مشتریان برای محصولات خاص نام خود را ارائه داده بودند، اطلاعات رمزگذاری شده بود اما شرکت به دلیل احتمال افشای کلیدهای رمزنگاری، این اطلاعات را نیز به عنوان در معرض دسترسی قرار گرفته تلقی می‌کند و کاربران مربوطه را مطلع ساخته است.

بیت‌رفیل اعلام کرد در حال حاضر معتقد نیست که مشتریان نیاز به اقدام خاصی داشته باشند، اما توصیه کرد نسبت به هرگونه ارتباط غیرمنتظره مرتبط با بیت‌رفیل یا رمز ارز هوشیار باشند.

این شرکت افزود که اقدامات امنیتی خود را تقویت کرده است؛ از جمله انجام بررسی‌های امنیت سایبری خارجی و تست نفوذ بیشتر، سخت‌گیری در کنترل‌های دسترسی داخلی، بهبود سیستم‌های پایش و ثبت لاگ، و اصلاح رویه‌های واکنش به حادثه. همچنین اعلام کرد که خسارات مالی از سرمایه عملیاتی شرکت جبران خواهد شد و بیشتر خدمات از جمله پرداخت‌ها و موجودی‌ها بازیابی شده‌اند.

خطر گروه لازاروس

با وجود اینکه بسیاری از پلتفرم‌های رمز ارز در سال‌های اخیر چارچوب‌های امنیتی خود را تقویت کرده‌اند، مهاجمان همچنان موفق به دور زدن این تدابیر می‌شوند. گروه لازاروس همچنان به عنوان خطرناک‌ترین و سرسخت‌ترین تهدید این حوزه شناخته می‌شود و مسئول بزرگ‌ترین هک رمز ارز تاریخ است که در فوریه ۲۰۲۵ مبلغ ۱.۴ میلیارد دلار از صرافی بای‌بیت به سرقت برد.

پیش‌تر یک تحلیل‌گر بلاکچین اعلام کرده بود که در نفوذهایی مانند بای‌بیت، دی‌ام‌ام بیت‌کوین و وازیرایکس، وجوه سرقت‌شده به راحتی شسته شده‌اند. این تحلیل‌گر زنجیره‌ای افزوده بود که گروه‌های پولشویی عملاً «در نبرد با نیروهای اجرایی پیروز شده‌اند».

منبع: لینک خبر