Bitrefill ถูกกลุ่มลาซารัสเจาะเข้าอย่างแม่นยำ กระเป๋าเงินร้อนถูกล้างข้อมูล 18,500 รายการได้รับผลกระทบ การคุกคามจากแฮกเกอร์เกาหลีเหนือกลับมาเป็นประเด็นอีกครั้ง
จากแล็ปท็อปของพนักงานถึงความลับในการผลิต: การเจาะเข้าอย่างแม่นยำของกลุ่มลาซารัส
แพลตฟอร์มซื้อขายคริปโตเคอเรนซี Bitrefill เมื่อวานนี้ (17/3) ได้ออกรายงานการสืบสวนอย่างเป็นทางการ เปิดเผยว่าบริษัทถูกโจมตีทางไซเบอร์อย่างมืออาชีพเมื่อวันที่ 1 มีนาคม จากการสืบสวนพบว่าการโจมตีครั้งนี้มีความคล้ายคลึงสูงกับกลุ่มแฮกเกอร์สนับสนุนเกาหลีเหนือ “ลาซารัสกลุ่ม” (Lazarus Group) และสาขา Bluenoroff
ในรายงาน Bitrefill ระบุว่ารูปแบบการโจมตี ลักษณะซอฟต์แวร์มัลแวร์ เส้นทางการไหลของเงินบนบล็อกเชน รวมถึง IP และอีเมลที่ใช้ซ้ำ ล้วนชี้ให้เห็นว่าเป็นกลุ่มเกาหลีเหนือที่ทำงานในอุตสาหกรรมคริปโต การเจาะเข้าเริ่มต้นจากแล็ปท็อปส่วนตัวของพนักงานเครื่องหนึ่ง ถูกแฮกเกอร์แฮกเข้าไปและขโมยข้อมูลรับรองเก่าเกี่ยวกับระบบการผลิต
ที่มา: X/@bitrefill แพลตฟอร์มซื้อขายคริปโตเคอเรนซี Bitrefill ออกรายงานการโจมตีทางไซเบอร์เมื่อวันที่ 1/3
ข้อมูลรับรองนี้แม้จะเป็นข้อมูลเก่า แต่กลายเป็นกุญแจสำคัญให้แฮกเกอร์เข้าไปในระบบหลักของ Bitrefill ได้ โดยการเข้าถึงภาพถ่ายระบบข้อมูลการผลิต แฮกเกอร์สามารถเพิ่มสิทธิ์การเข้าถึงและเคลื่อนที่ในโครงสร้างพื้นฐานของบริษัท จากนั้นจึงมุ่งเป้าไปยังฐานข้อมูลภายในบางส่วนและกระเป๋าเงินร้อนของคริปโตเคอเรนซีบางแห่ง การเจาะเข้าแบบจุดเดียวแล้วขยายไปสู่ความลับในการผลิตเช่นนี้ เป็นกลยุทธ์หลักของกลุ่มลาซารัส ซึ่งสะท้อนให้เห็นถึงความท้าทายในการบริหารจัดการข้อมูลรับรองเก่าและความปลอดภัยของอุปกรณ์ปลายทาง Bitrefill เน้นว่าขณะนี้ได้ปิดช่องโหว่และเสริมความแข็งแกร่งในการป้องกันแล้ว แต่ระดับความเชี่ยวชาญของแฮกเกอร์ชี้ให้เห็นว่านี่เป็นการดำเนินการที่วางแผนมาอย่างดีและเป็นเป้าหมายเฉพาะ
การเปิดเผยการบุกรุกผ่านซัพพลายเชน กระเป๋าเงินร้อนและคลังของขวัญถูกปล้น
การโจมตีนี้ถูกตรวจพบครั้งแรกจากพฤติกรรมผิดปกติในด้านธุรกิจ “ทีมรักษาความปลอดภัยของ Bitrefill พบว่าการทำธุรกรรมระหว่างแพลตฟอร์มและซัพพลายเออร์มีรูปแบบที่ผิดปกติ หลังจากการสืบสวนลึกซึ้ง ยืนยันว่ากลุ่มแฮกเกอร์กำลังใช้คลังของขวัญและช่องทางซัพพลายเชนของบริษัทเพื่อการถอนเงินผิดกฎหมาย” ในขณะเดียวกัน เงินในกระเป๋าเงินร้อนหลายแห่งภายในบริษัทก็เริ่มถูกโอนออกไปยังที่อยู่ภายนอกที่ควบคุมโดยแฮกเกอร์ เมื่อเผชิญกับวิกฤตด้านความปลอดภัยในเวลานั้น Bitrefill ได้สั่งให้ระบบทั่วโลกหยุดทำงานทั้งหมดอย่างรวดเร็ว เพื่อป้องกันความเสียหายที่อาจลุกลาม เนื่องจากแพลตฟอร์มนี้มีสินค้าหลายพันรายการ หลายช่องทางการชำระเงิน และซัพพลายเชนข้ามประเทศ กระบวนการทำความสะอาดความปลอดภัยและการรีบูตระบบจึงใช้เวลานานกว่าสองสัปดาห์
ในด้านความเสียหายทางการเงิน แม้จำนวนรวมยังไม่เปิดเผยอย่างเป็นทางการ แต่ Bitrefill ยอมรับว่ากระเป๋าเงินร้อนถูกล้างข้อมูล “ในช่วงที่แฮกเกอร์อยู่ในระบบ พวกเขาได้ทำการสอบถามเป้าหมายหลายครั้งเพื่อยืนยันทรัพย์สินที่สามารถโจรกรรมได้ รวมถึงปริมาณคริปโตและคลังของขวัญ”
Bitrefill ระบุว่าการดำเนินการของแฮกเกอร์มีประสิทธิภาพสูง แสดงให้เห็นว่าพวกเขามีความเข้าใจลึกซึ้งเกี่ยวกับกลไกการทำงานของแพลตฟอร์มอีคอมเมิร์ซ ต่อมา บริษัทได้ร่วมมือกับทีมงานมืออาชีพหลายกลุ่ม รวมถึง zeroShadow, SEAL911 (SEAL Org) และ RecoverisTeam เพื่อติดตามเส้นทางการเคลื่อนย้ายของเงินบนบล็อกเชน และทำการวิเคราะห์และทำความสะอาดเซิร์ฟเวอร์ที่ได้รับผลกระทบ
ผลกระทบต่อ 18,500 รายการซื้อขายและความเสี่ยงข้อมูลรั่วไหล
นอกจากความเสียหายด้านการเงินแล้ว ความปลอดภัยของข้อมูลลูกค้าก็เป็นที่สนใจอย่างมาก การสืบสวนของ Bitrefill ชี้ให้เห็นว่า แม้แฮกเกอร์ไม่ได้ส่งออกฐานข้อมูลทั้งหมด แต่ก็มีประมาณ 18,500 รายการการซื้อขายที่ถูกเข้าถึง ข้อมูลรั่วไหลเหล่านี้ประกอบด้วยอีเมลที่อยู่ของลูกค้า ที่อยู่กระเป๋าเงินคริปโต คำขอ IP และข้อมูลเมตาอื่น ๆ ในจำนวนนี้ประมาณ 1,000 รายการมีชื่อของลูกค้าอยู่ด้วย แม้ชื่อเหล่านี้จะถูกเข้ารหัสในฐานข้อมูล แต่เนื่องจากแฮกเกอร์อาจได้กุญแจเข้ารหัสไปด้วย Bitrefill จึงเลือกใช้แนวทางเตือนภัยอย่างระมัดระวังที่สุด โดยถือว่าข้อมูลเหล่านี้อาจถูกเข้าถึงได้ และได้แจ้งเตือนผู้ใช้ที่ได้รับผลกระทบผ่านอีเมลแล้ว
Bitrefill ย้ำว่ารูปแบบธุรกิจของบริษัทพยายามลดการเก็บข้อมูลส่วนตัวของลูกค้า (PII) ให้มากที่สุด การออกแบบเช่นนี้ช่วยจำกัดความเสียหายในกรณีเกิดเหตุการณ์ร้ายแรง
แพลตฟอร์มไม่บังคับให้ผู้ใช้ส่วนใหญ่ทำการยืนยันตัวตน (KYC) และในกรณีที่ต้องการยืนยันตัวตน ข้อมูลและเอกสารทั้งหมดจะถูกส่งให้กับผู้ให้บริการภายนอกและไม่เก็บไว้ในเซิร์ฟเวอร์ภายในหรือระบบสำรองของ Bitrefill จากการวิเคราะห์บันทึกล็อกในปัจจุบัน แฮกเกอร์ดูเหมือนจะมุ่งเป้าไปที่ทรัพย์สินมากกว่าข้อมูลในฐานข้อมูล การสอบถามส่วนใหญ่เกี่ยวข้องกับการตรวจสอบทรัพย์สิน เช่นคริปโตและคลังของขวัญ ถึงแม้ผู้ใช้ที่ได้รับผลกระทบควรระวังและเตรียมรับมือกับอีเมลฟิชชิ่งหรือการหลอกลวงเกี่ยวกับคริปโตในอนาคต
การฟื้นฟูการดำเนินงานเต็มรูปแบบและความรับผิดชอบของ Bitrefill
ขณะนี้การดำเนินงานทั่วโลกของ Bitrefill กลับมาเป็นปกติแล้ว รวมถึงฟังก์ชันการชำระเงิน การเติมสินค้าคงคลัง และการเข้าถึงบัญชี บริษัทระบุว่าสถานะทางการเงินแข็งแรงและมีกำไรระยะยาว จึงจะใช้เงินทุนดำเนินการเต็มจำนวนเพื่อรับผิดชอบความเสียหายจากการโจมตีครั้งนี้ บัญชีผู้ใช้ทุกบัญชียังคงปลอดภัยและไม่ได้รับผลกระทบ ทุนของบริษัทก็เพียงพอที่จะรับมือกับความท้าทายทางการเงินนี้ เพื่อเสริมความปลอดภัย Bitrefill ได้ดำเนินการควบคุมการเข้าถึงภายในที่เข้มงวดยิ่งขึ้น ระบบอัตโนมัติในการตรวจจับและตอบสนองต่อเหตุการณ์ฉุกเฉินก็ได้รับการอัปเกรด รวมถึงปรับปรุงกระบวนการรับมือฉุกเฉินและปิดระบบ เพื่อให้สามารถตอบสนองต่อกิจกรรมผิดปกติได้รวดเร็วขึ้นในอนาคต และป้องกันไม่ให้ความล้มเหลวของอุปกรณ์เดียวลุกลามเป็นความล้มเหลวระดับระบบ
เหตุการณ์นี้เน้นให้เห็นถึงภัยคุกคามจากกลุ่มเกาหลีเหนือที่มีต่ออุตสาหกรรมคริปโตเคอเรนซีอย่างชัดเจน ตามข้อมูลของ Chainalysis กลุ่มเกาหลีเหนือในปี 2025 ได้โจรกรรมคริปโตเคอเรนซีรวมมูลค่ากว่า 2.02 พันล้านดอลลาร์ คิดเป็นร้อยละ 59 ของเงินผิดกฎหมายในปีนั้น
ที่มา: Chainalysis กลุ่มเกาหลีเหนือในปี 2025 โจรกรรมคริปโตเคอเรนซีรวมมูลค่ากว่า 2.02 พันล้านดอลลาร์
รวมถึงกลุ่มลาซารัสที่โจมตีครั้งใหญ่ในต้นปี 2025 ด้วยมูลค่าถึง 1.5 พันล้านดอลลาร์ การโจมตีต่อ Upbit (32 ล้านดอลลาร์) และ CoinDCX (44 ล้านดอลลาร์) ขณะที่เกาหลีเหนือยังคงใช้เงินที่โจรกรรมได้สนับสนุนโครงการอาวุธของตนเอง ความท้าทายด้านความปลอดภัยระดับชาติต่ออุตสาหกรรมคริปโตจึงเพิ่มขึ้นอย่างต่อเนื่อง Bitrefill ระบุว่าจะดำเนินการตรวจสอบความปลอดภัยและทดสอบเจาะระบบภายนอกอย่างต่อเนื่อง เพื่อให้สามารถรับมือกับกลุ่มแฮกเกอร์มืออาชีพได้อย่างมีประสิทธิภาพ
