Bitrefill bị tấn công, nghi nhóm tin tặc Triều Tiên đứng sau

Nền tảng thẻ quà tặng tài sản mã hóa Bitrefill vừa công bố đầy đủ chi tiết về một cuộc tấn công mạng nghiêm trọng xảy ra vào ngày 1 tháng 3, đánh dấu lần đầu tiên công ty cung cấp thông tin toàn diện về sự cố cũng như các tác nhân được nghi ngờ đứng sau. Bitrefill là nền tảng cho phép người dùng hoán đổi Bitcoin, Dogecoin và các tài sản mã hóa khác để lấy thẻ quà tặng từ các thương hiệu lớn hoặc nạp tiền cho dịch vụ viễn thông toàn cầu.

Theo báo cáo sự cố được đăng tải trên nền tảng X, chuỗi tấn công bắt đầu từ việc máy tính xách tay của một nhân viên bị xâm phạm. Từ điểm khởi đầu này, các đối tượng tấn công đã khai thác một thông tin xác thực cũ còn tồn tại trong một bản chụp hệ thống chứa các bí mật vận hành, qua đó mở rộng quyền truy cập vào hạ tầng nội bộ, bao gồm một phần cơ sở dữ liệu, một số ví tài sản mã hóa, kho tồn kho thẻ quà tặng và các tuyến mua hàng từ nhà cung cấp. 

Bitrefill phát hiện sự xâm nhập khi nhận thấy các mẫu hành vi mua hàng bất thường, sau đó lập tức đưa toàn bộ hệ thống ngoại tuyến để kiểm soát thiệt hại.

Dấu vết kỹ thuật trỏ về nhóm tin tặc được nhà nước Triều Tiên bảo trợ

Cuộc điều tra phối hợp với các đơn vị ứng cứu sự cố, chuyên gia phân tích blockchain và cơ quan thực thi pháp luật đã phát hiện nhiều chỉ dấu kỹ thuật tương đồng với các cuộc tấn công trước đây được quy cho nhóm Lazarus và Bluenoroff, hai tổ chức tin tặc hoạt động dưới sự bảo trợ của nhà nước Triều Tiên. Các chỉ dấu bao gồm các mẫu mã độc đặc trưng, kết quả truy vết trên chuỗi khối và việc tái sử dụng hạ tầng tấn công đã được ghi nhận trong các vụ trước.

Về tác động đến người dùng, Bitrefill xác nhận khoảng 18.500 bản ghi giao dịch đã bị ảnh hưởng, chứa các trường dữ liệu giới hạn như địa chỉ email, địa chỉ thanh toán tài sản mã hóa và siêu dữ liệu bao gồm địa chỉ IP. Riêng khoảng 1.000 giao dịch có lưu tên khách hàng, dù đã được mã hóa, vẫn bị đánh giá là có nguy cơ bị truy cập do các đối tượng tấn công có thể đã thu được khóa giải mã liên quan. 

Đáng lưu ý, công ty không yêu cầu xác minh danh tính bắt buộc (KYC) và lưu trữ dữ liệu xác minh thông qua nhà cung cấp bên ngoài, điều này giúp giới hạn phạm vi dữ liệu bị phơi lộ.

Sự cố tại Bitrefill xảy ra trong bối cảnh các nhóm tin tặc Triều Tiên đang leo thang các hoạt động tấn công vào hệ sinh thái tài sản mã hóa toàn cầu. Các nhóm này trước đó đã bị liên kết với vụ tấn công sàn giao dịch Bybit trị giá 1,4 tỷ USD và vụ tấn công 622 triệu USD vào mạng Ronin năm 2022. Theo Chainalysis, trong năm ngoái, tin tặc có liên hệ với Triều Tiên đã chiếm đoạt hơn 2 tỷ USD tài sản mã hóa.

Hiện phần lớn hoạt động của Bitrefill đã trở lại bình thường. Công ty cho biết các tổn thất sẽ được bù đắp từ nguồn vốn vận hành, đồng thời triển khai một loạt biện pháp củng cố bảo mật gồm đánh giá an ninh độc lập, kiểm thử xâm nhập, siết chặt kiểm soát truy cập nội bộ và nâng cấp hệ thống giám sát sự cố.

Nguồn: phocapblockchain.net