В начале марта криптовалютный онлайн-сервис Bitrefill подвергся хакерской атаке. В команде проекта считают, что за инцидентом стоит северокорейская группа Lazarus Group, а именно ее подразделение BlueNoroff.
О случившемся представители платформы сообщили 17 марта. Специалисты отметили сходство атаки с предыдущими операциями этих хакеров — по применяемому вредоносному ПО, тактике действий, ончейн-следам и IP-адресам.
Атака началась с взлома ноутбука одного из сотрудников. Злоумышленники получили доступ к устаревшим учетным данным, что позволило им добраться до системного «снимка» с производственной информацией. В результате они смогли повысить свои привилегии и проникнуть в инфраструктуру сервиса, включая базы данных и криптокошельки.
Служба безопасности выявила подозрительную активность — операции с подарочными картами и вывод средств с горячих кошельков на адреса злоумышленников. После этого все системы были экстренно отключены.
По итогам расследования выяснилось, что хакеры получили доступ примерно к 18 500 записям о покупках. Утекшие данные включают: электронные адреса; криптовалютные кошельки; метаданные, в том числе IP-адреса.
Примерно в тысяче случаев пользователи указывали свои имена при покупке отдельных товаров. Эти данные хранились в зашифрованном виде, однако существует вероятность, что злоумышленники получили ключи к ним. Bitrefill считает такую информацию скомпрометированной и уже уведомил пострадавших клиентов.
При этом данные для верификации не пострадали, поскольку они размещаются у стороннего провайдера и не сохраняются в системе Bitrefill.