แพลตฟอร์มอีคอมเมิร์ซคริปโตเคอร์เรนซี Bitrefill เปิดเผยเมื่อวันที่ 18 มีนาคมว่า บริษัทถูกโจมตีทางไซเบอร์เมื่อวันที่ 1 มีนาคม ซึ่งลักษณะการโจมตีมีความสอดคล้องกับลักษณะเฉพาะของกลุ่มแฮกเกอร์ Lazarus Group ของเกาหลีเหนืออย่างสูง แฮกเกอร์ได้แทรกซึมเข้าไปในคอมพิวเตอร์โน้ตบุ๊กของพนักงานคนหนึ่ง จากนั้นจึงขโมยเงินในกระเป๋าเงินร้อนของบริษัท และเข้าถึงข้อมูลการซื้อขายจำนวน 18,500 รายการ
เส้นทางการโจมตี: จากคอมพิวเตอร์พนักงานเข้าสู่กระเป๋าเงินร้อนแบบแนวราบ
การเปิดเผยของ Bitrefill เปิดเผยเส้นทางการเจาะระบบแบบหลายชั้นของการโจมตีนี้: แฮกเกอร์เริ่มต้นด้วยการแทรกซึมเข้าไปในอุปกรณ์ของพนักงานด้วยมัลแวร์ จากนั้นใช้เป็นจุดกระโดดเข้าสู่กระเป๋าเงินร้อนของบริษัท ซึ่งเป็นเส้นทางที่ “อุปกรณ์ปลายทางเป็นทางเข้า สินทรัพย์หลักเป็นเป้าหมาย” ซึ่งตรงกับวิธีการโจมตีที่รู้จักของกลุ่ม Lazarus Group และองค์กรในเครือ BlueNoroff Group
Bitrefill ระบุว่า BlueNoroff Group อาจเป็นฝ่ายมีส่วนร่วมในเหตุการณ์นี้ หรืออาจเป็นผู้โจมตีเพียงกลุ่มเดียว ในด้านการเข้าถึงข้อมูล แฮกเกอร์ได้ทำการสอบถามข้อมูลในฐานข้อมูลบันทึกการซื้อขายในระดับจำกัด โดยมีเป้าหมายเพื่อ “สำรวจทรัพย์สินที่สามารถโจรกรรมได้ รวมถึงคริปโตเคอร์เรนซีและสินค้าคงคลังบัตรของขวัญ” Bitrefill เน้นย้ำว่าไม่มีหลักฐานชี้ชัดว่าฝ่ายโจมตีได้ดึงข้อมูลทั้งฐานข้อมูลออกไป และแรงจูงใจของการโจมตีคือเพื่อการโจรกรรมทางการเงินเป็นหลัก
ผลกระทบต่อผู้ใช้: ข้อมูลบางส่วนรั่วไหลอย่างจำกัด การให้บริการกลับสู่ภาวะปกติ
แฮกเกอร์เข้าถึงข้อมูลการซื้อขายจำนวน 18,500 รายการ Bitrefill ระบุว่าสิ่งนี้อาจทำให้ “ข้อมูลลูกค้าในระดับจำกัด” รั่วไหลออกไป แต่ไม่พบสัญญาณของการดึงข้อมูลฐานข้อมูลขนาดใหญ่ Bitrefill ออกแถลงว่า: “เกือบทุกบริการได้กลับสู่สภาวะปกติแล้ว — รวมถึงการชำระเงิน สต็อกสินค้า และบัญชีผู้ใช้ ยอดขายก็กลับสู่ระดับปกติแล้วเช่นกัน”
มาตรการด้านความปลอดภัย: เข้าร่วมมือกับ 4 บริษัทด้านความปลอดภัยไซเบอร์ เพื่อเสริมสร้างระบบป้องกัน
หลังเหตุการณ์ Bitrefill ได้ดำเนินมาตรการหลายประการ:
ปิดกั้นทันที: ปิดระบบที่เกี่ยวข้องในทันทีเพื่อควบคุมการแพร่กระจายของการโจมตี
แจ้งหน่วยงานบังคับใช้กฎหมาย: ได้ติดต่อหน่วยงานที่เกี่ยวข้องแล้ว
ความร่วมมือด้านความปลอดภัยจากภายนอก: ร่วมมือกับ Security Alliance, FearsOff Security, Recoveris.io และ zeroShadow ในการสืบสวน
เสริมความแข็งแกร่งของระบบ: ปฏิบัติตามคำแนะนำของนักวิจัยด้านความปลอดภัย เพิ่มการควบคุมการเข้าถึงภายใน ปรับปรุงกลไกการตรวจสอบเพื่อให้สามารถตรวจจับและตอบสนองได้รวดเร็วยิ่งขึ้น
Bitrefill ระบุว่า ตั้งแต่เกิดเหตุการณ์ ระบบความปลอดภัยทางไซเบอร์ของบริษัทได้ “ปรับปรุงอย่างเห็นได้ชัด”
เบื้องหลัง Lazarus Group: จากการโจรกรรม 1.4 พันล้านดอลลาร์ของ Bybit สู่ Bitrefill
Lazarus Group เป็นหนึ่งในกลุ่มภัยคุกคามที่อันตรายที่สุดในอุตสาหกรรมคริปโตเคอร์เรนซีในปัจจุบัน และมีความสัมพันธ์ใกล้ชิดกับรัฐบาลเกาหลีเหนือ ในเดือนกุมภาพันธ์ 2025 Lazarus Group ถูกกล่าวหาว่าเป็นผู้อยู่เบื้องหลังการโจรกรรมครั้งใหญ่ที่สุดในประวัติศาสตร์คริปโตเคอร์เรนซี โดยขโมยทรัพย์สินคริปโตจากการแลกเปลี่ยน Bybit มูลค่ากว่า 1.4 พันล้านดอลลาร์ ซึ่งเป็นการโจรกรรมที่มีขนาดใหญ่ที่สุดในประวัติศาสตร์ของการโจมตีแฮกเกอร์คริปโตเคอร์เรนซี
เหตุการณ์นี้เป็นการโจมตีครั้งล่าสุดที่ Lazarus Group หรือองค์กรในเครือถูกกล่าวหาว่าเป็นผู้ก่อเหตุ หลังจากการโจมตีของ Bybit ก็เป็นการย้ำให้เห็นว่า กลุ่มนี้ยังคงเน้นการแทรกซึมเข้าสู่อุปกรณ์ของพนักงานในบริษัทคริปโตเป็นเป้าหมายหลัก
คำถามที่พบบ่อย
กลยุทธ์หลักของการโจมตีของ Bitrefill คืออะไร?
การโจมตีเกิดขึ้นเมื่อวันที่ 1 มีนาคม โดยแฮกเกอร์ใช้มัลแวร์ การติดตามบนบล็อกเชน และการใช้ซ้ำ IP และอีเมลพื้นฐานในการบุกรุกคอมพิวเตอร์โน้ตบุ๊กของพนักงานคนหนึ่ง จากนั้นจึงเข้าถึงสิทธิ์ในกระเป๋าเงินร้อนเพื่อขโมยเงิน และทำการสอบถามข้อมูลในฐานข้อมูลการซื้อขายจำนวน 18,500 รายการในระดับจำกัด
ทำไม Bitrefill ถึงเชื่อมโยงการโจมตีนี้กับ Lazarus Group?
Bitrefill ระบุว่า วิธีการโจมตีที่ใช้ — รวมถึงการติดตั้งมัลแวร์ การติดตามบนบล็อกเชน และการใช้ซ้ำโครงสร้างพื้นฐาน — สอดคล้องกับลักษณะเฉพาะของการโจมตีที่รู้จักของ Lazarus Group อย่างสูง พร้อมทั้งชี้ให้เห็นว่า BlueNoroff Group ซึ่งเป็นองค์กรในเครือของ Lazarus ก็อาจเป็นผู้ร่วมก่อเหตุหรือเป็นผู้โจมตีเพียงกลุ่มเดียวกัน
ข้อมูลส่วนตัวของผู้ใช้ Bitrefill ได้รับผลกระทบอย่างกว้างขวางหรือไม่?
Bitrefill ระบุว่าในขณะนี้ไม่มีหลักฐานชี้ชัดว่าฝ่ายโจมตีได้ดึงข้อมูลทั้งฐานข้อมูลออกไป การโจมตีนี้เป็นการสอบถามข้อมูลในระดับจำกัด โดยเป้าหมายหลักคือการระบุทรัพย์สินทางการเงินที่สามารถโจรกรรมได้ อย่างไรก็ตาม การเข้าถึงข้อมูลการซื้อขายจำนวน 18,500 รายการ อาจทำให้ข้อมูลลูกค้าบางส่วนรั่วไหลได้ในระดับจำกัด จึงแนะนำให้ผู้ใช้ระวังความผิดปกติที่อาจเกิดขึ้น
