Nền tảng thương mại điện tử tiền mã hóa Bitrefill đã công bố trên X vào ngày 18 tháng 3 rằng công ty đã bị tấn công an ninh mạng vào ngày 1 tháng 3, với phương thức tấn công phù hợp cao với đặc điểm đã biết của nhóm hacker Triều Tiên Lazarus Group. Hacker đã xâm nhập vào máy tính xách tay của một nhân viên, từ đó lấy cắp tiền trong ví nóng của công ty và có được quyền truy cập vào 18.500 hồ sơ mua hàng.
Lộ trình tấn công: Từ máy tính nhân viên xâm nhập ngang qua đến ví nóng
Thông báo của Bitrefill tiết lộ lộ trình xâm nhập nhiều lớp của cuộc tấn công này: hacker ban đầu sử dụng phần mềm độc hại để xâm nhập vào thiết bị của nhân viên, sau đó dùng thiết bị này làm điểm trung chuyển để xâm nhập ngang vào ví nóng của công ty. Phương thức này — “thiết bị cuối cùng làm cửa ngõ, tài sản cốt lõi là mục tiêu” — phù hợp cao với các phương thức tấn công đã biết của Lazarus Group và tổ chức liên quan BlueNoroff Group.
Bitrefill chỉ ra rằng, có khả năng BlueNoroff Group là bên tham gia trong vụ việc này, thậm chí có thể là kẻ tấn công duy nhất. Về mặt truy cập dữ liệu, hacker đã thực hiện các truy vấn hạn chế vào cơ sở dữ liệu hồ sơ mua hàng, chủ yếu nhằm “khám phá các tài sản có thể bị đánh cắp, bao gồm tiền mã hóa và kho dự trữ thẻ quà tặng”. Bitrefill nhấn mạnh rằng không có bằng chứng cho thấy hacker đã trích xuất toàn bộ cơ sở dữ liệu, mục đích tấn công chủ yếu là trộm cắp tài chính.
Ảnh hưởng tới khách hàng: Rò rỉ thông tin hạn chế, dịch vụ đã phục hồi toàn diện
Hacker đã truy cập vào 18.500 hồ sơ mua hàng, Bitrefill cho biết điều này có thể dẫn đến “rò rỉ thông tin khách hàng hạn chế”, nhưng không phát hiện dấu hiệu trích xuất quy mô lớn cơ sở dữ liệu. Bitrefill tuyên bố: “Gần như tất cả dịch vụ đã trở lại bình thường — thanh toán, tồn kho và tài khoản, doanh số bán hàng cũng đã trở về mức bình thường.”
Ứng phó an ninh: Bốn công ty an ninh mạng tham gia, hệ thống phòng thủ được nâng cấp toàn diện
Sau sự kiện, Bitrefill đã thực hiện nhiều biện pháp ứng phó:
Chặn ngay lập tức: Đóng các hệ thống liên quan để ngăn chặn sự lây lan của cuộc tấn công
Thông báo cho cơ quan pháp luật: Đã liên hệ với các cơ quan chức năng liên quan
Hợp tác với các công ty an ninh mạng bên thứ ba: Hợp tác điều tra cùng Security Alliance, FearsOff Security, Recoveris.io và zeroShadow
Củng cố hệ thống: Thực hiện các đề xuất của các nhà nghiên cứu an ninh, tăng cường kiểm soát truy cập nội bộ, cải thiện cơ chế giám sát để rút ngắn thời gian phát hiện và phản ứng
Bitrefill cho biết, kể từ khi xảy ra sự kiện, các biện pháp an ninh mạng của họ đã “cải thiện rõ rệt”.
Bối cảnh nhóm Lazarus: Từ Bybit 14 tỷ đến Bitrefill
Lazarus Group là một trong những tổ chức đe dọa phá hoại mạnh nhất trong ngành công nghiệp tiền mã hóa hiện nay, có mối liên hệ chặt chẽ với chính phủ Triều Tiên. Tháng 2 năm 2025, Lazarus Group bị cáo buộc đã kích động vụ trộm cắp lớn nhất trong lịch sử tiền mã hóa, khi lấy đi tới 1,4 tỷ USD tài sản mã hóa từ sàn giao dịch Bybit, là vụ tấn công hacker lớn nhất từ trước đến nay trong lịch sử tiền mã hóa.
Sự kiện của Bitrefill lần này là vụ tấn công mới nhất do Lazarus Group hoặc tổ chức liên quan bị cáo buộc thực hiện, sau Bybit, cho thấy tổ chức này vẫn tiếp tục chủ yếu xâm nhập qua thiết bị của nhân viên các doanh nghiệp tiền mã hóa.
Các câu hỏi thường gặp
Phương thức chủ đạo của vụ tấn công của Bitrefill là gì?
Vụ tấn công xảy ra vào ngày 1 tháng 3, hacker sử dụng phần mềm độc hại, theo dõi trên chuỗi và tái sử dụng hạ tầng IP và email để xâm nhập vào máy tính xách tay của một nhân viên, từ đó lấy quyền truy cập ví nóng để trộm cắp tiền, đồng thời thực hiện các truy vấn hạn chế vào 18.500 hồ sơ mua hàng.
Tại sao Bitrefill lại cho rằng Lazarus Group là thủ phạm?
Bitrefill chỉ ra rằng, các phương thức tấn công — bao gồm triển khai phần mềm độc hại, theo dõi trên chuỗi và tái sử dụng hạ tầng — phù hợp cao với đặc điểm đã biết của Lazarus Group. Đồng thời, họ cũng cho rằng tổ chức liên quan chặt chẽ với Lazarus là BlueNoroff có thể là bên tham gia hoặc là thủ phạm duy nhất.
Thông tin cá nhân của người dùng Bitrefill có bị rò rỉ quy mô lớn không?
Bitrefill cho biết hiện không có bằng chứng cho thấy hacker đã trích xuất toàn bộ cơ sở dữ liệu. Hacker chỉ thực hiện các truy vấn hạn chế, chủ yếu nhằm xác định các tài sản tài chính có thể bị đánh cắp. Tuy nhiên, 18.500 hồ sơ mua hàng đã bị truy cập, một số thông tin khách hàng hạn chế vẫn có nguy cơ bị rò rỉ, người dùng nên chú ý các bất thường liên quan.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
