كشفت Bitrefill عن تفاصيل هجوم سيبراني وقع في 1 مارس 2026، وكشفت أن المهاجمين سحبوا الأموال من محافظها الساخنة وحصلوا على الوصول إلى أجزاء من بنية تحتية داخلية.
قالت الشركة إن تحقيقاتها كشفت عن عدة تشابهات مع عمليات سابقة مرتبطة بمجموعة لازاروس. ومع ذلك، تجنبت نسب الهجوم بشكل قاطع.
تم اكتشاف الخرق بعد أن لاحظت Bitrefill أنماط شراء غير طبيعية مرتبطة بشبكة مورديها، إلى جانب تحويلات غير مصرح بها من محافظها. واتخذت الشركة على الفور إيقاف أنظمتها لاحتواء الحادث.
بدأ الهجوم بجهاز موظف مخترق
وفقًا لـ Bitrefill، نشأ الاختراق من جهاز كمبيوتر محمول موظف مخترق، مما سمح للمهاجمين باستخراج بيانات اعتماد قديمة.
قدمت هذه البيانات وصولاً إلى لقطة تحتوي على أسرار الإنتاج، مما مكن المهاجمين من رفع صلاحياتهم عبر أجزاء من بنية الشركة التحتية.
من هناك، حصل المهاجمون على الوصول إلى الأنظمة الداخلية، وأجزاء قاعدة البيانات، وبعض محافظ العملات المشفرة. وهذا أدى في النهاية إلى تحركات للأموال وتعطيلات تشغيلية.
تم تفريغ المحافظ الساخنة مع استغلال قنوات العرض
قالت Bitrefill إن المهاجمين استغلوا نظام مخزون بطاقات الهدايا وبنية التحتية الخاصة بالعملات المشفرة.
كشفت النشاطات المشبوهة في الشراء أن خطوط التوريد كانت تُستغل، في حين تم تفريغ المحافظ الساخنة في نفس الوقت ونقل الأموال إلى عناوين يتحكم فيها المهاجمون.
لم تكشف الشركة عن القيمة الإجمالية للأموال المفقودة. ومع ذلك، تأكدت من أن الاختراق أثر على عمليات التجارة الإلكترونية ورصيد المحافظ على حد سواء.
تم الوصول إلى 18,500 سجلًا، وتم تقليل تعرض البيانات
أظهرت سجلات قاعدة البيانات أن حوالي 18,500 سجل شراء تم الوصول إليها أثناء الاختراق. شملت البيانات المكشوفة:
- عناوين البريد الإلكتروني
- عناوين الدفع بالعملات المشفرة
- معلومات تعريفية مثل عناوين IP
لحوالي 1,000 عملية شراء، تم تضمين أسماء العملاء. وعلى الرغم من أن هذه البيانات كانت مشفرة، فقد قالت Bitrefill إن المهاجمين قد يكونوا حصلوا على مفاتيح التشفير وتتعامل مع الأمر على أنه معرض للخطر محتملًا.
تم إخطار المستخدمين المتأثرين في هذه الفئة بالفعل.
أكدت الشركة أنه لا توجد أدلة على استخراج قاعدة بيانات كاملة، مشيرة إلى أن الاستعلامات كانت محدودة واستكشافية.
تم تحديد أنماط مرتبطة بـ Lazarus في التحقيق
قالت Bitrefill إن تحقيقاتها—التي استندت إلى تحليل البرمجيات الخبيثة، وتتبع السلاسل، والبنية التحتية المعاد استخدامها مثل عناوين IP وعناوين البريد الإلكتروني—كشفت عن أوجه تشابه مع أساليب معروفة تستخدمها مجموعة Lazarus ووحدتها المرتبطة، Bluenoroff.
بينما لا يزال التعيين حذرًا، فإن التداخل في أسلوب العمل والأدوات يشير إلى أن الهجوم قد يتوافق مع حملات سابقة استهدفت شركات التشفير.
تم استعادة الأنظمة مع عودة العمليات إلى طبيعتها
بعد الحادث، عملت Bitrefill مع شركات خارجية للأمن السيبراني، و محللين على السلسلة، وسلطات إنفاذ القانون للحد من الاختراق واستعادة العمليات. وقد عادت معظم الخدمات، بما في ذلك المدفوعات وتوافر المنتجات، إلى طبيعتها.
قالت الشركة إنها لا تزال مستقرة ماليًا وستمتص الخسائر من رأس المال التشغيلي. كما حددت الخطوات المتخذة بعد الحادث، بما في ذلك:
- تعزيز ضوابط الوصول
- توسيع المراقبة والتسجيل
- فحوصات أمنية إضافية واختبارات نفاذ
أضافت Bitrefill أن بيانات العملاء لم تكن الهدف الأساسي، وبناءً على الاكتشافات الحالية، لا يحتاج المستخدمون إلى اتخاذ إجراءات محددة سوى البقاء حذرين من الرسائل المشبوهة.
الملخص النهائي
- أكدت Bitrefill هجومًا إلكترونيًا أدى إلى تفريغ المحافظ الساخنة وكشف بيانات مستخدمين محدودة، مع إشارة التحقيق إلى أوجه تشابه مع تكتيكات مجموعة Lazarus.
- يُبرز الحادث المخاطر الأمنية المستمرة في البنية التحتية للعملات المشفرة، خاصةً من الجهات المهددة المتقدمة المرتبطة بالدول التي تستهدف نقاط الضعف التشغيلية.