Kripto para destekli bir hediye kartı platformu Bitrefill, sistemlerine yönelik yakın zamanda gerçekleşen bir siber saldırının, daha önce Kuzey Kore bağlantılı bir hack kolektifi olan Lazarus Group’a atfedilen operasyonlarla benzerlik gösterdiğini söyledi.
Şirket, olayın Mart başında, platformunu etkileyen alışılmadık faaliyetler tespit ettikten sonra, düzensiz satın alma davranışları ve altyapısının bazı bölümlerine yetkisiz erişim tespit ettikten sonra ortaya çıktığını açıkladı. Şirketler sorunu araştırıp müdahaleyi kontrol altına almak için çalışırken hizmetler geçici olarak devre dışı bırakıldı.
Şirkete göre, saldırı ele salınmış bir çalışanın dizüstü bilgisayarından kaynaklandı ve bu da saldırganların eski kimlik bilgilerini elde etmesini sağladı. Bu kimlik bilgileri, üretim sırlarını içeren bir anlık görüntü dahil olmak üzere dahili sistemlere erişmek için kullanıldı ve ardından veritabanları ve kripto para cüzdanları gibi daha geniş altyapıya erişimi artırdı.
Bitrefill, saldırganların yaklaşık 18.500 satın alma kaydına erişebildiğini belirtti. Ortaya çıkan veriler arasında e-posta adresleri, IP adresleri ve kripto para ödeme bilgileri bulunuyordu. Yaklaşık 1.000 vakada müşteri isimleri de dahil edildi. Şirket, verilerin şifreli şekilde saklandığı halde, saldırganların şifre açmak için gereken anahtarları elde etmiş olabileceğini belirtti.
Şirket, kullanıcı bakiyelerinin etkilenmediğini, ancak bazı fonların operasyonel kripto para cüzdanlarından alındığını belirtti. Ayrıca saldırganların birincil hedefinin finansal olduğunu, kripto para varlıklarını ve hediye kartı envanterini hedef aldığını, müşteri bilgilerinden ziyade olduğunu ekledi.
Bitrefill, araştırmasında, Lazarus Group ve Bluenoroff alt grubuyla bağlantılı önceki kampanyalarla örtüşmeler tespit etti. Şirket, değerlendirmesinde taktikler, kötü amaçlı yazılım, altyapı ve blokzincir işlem kalıplarında benzerlikleri gösterdi, ancak atıflama doğrulama değil, gözlemlenen göstergelere dayanıyor.
Bitrefill, çoğu hizmetin o zamandan beri geri getirildiğini ve zararları kendi sermayesiyle karşılayacağını belirtti. Şirket ayrıca, daha güçlü erişim kontrolleri, genişletilmiş izleme ve sistemlerinin daha fazla test edilmesi gibi ek güvenlik önlemleri uyguladığını belirtti.