Один ноутбук – тысячи подарочных карт для Ким Чен Ына. Как хакеры из КНДР взломали криптосервис Bitrefill
NewsMakerBitrefill подводит итоги взлома.
Атака на Bitrefill вышла далеко за пределы обычного сбоя — из системы начали исчезать деньги, а злоумышленники незаметно добрались до внутренней инфраструктуры и части данных пользователей
Инцидент произошёл 1 марта 2026 года. По характеру атаки, использованному вредоносному коду и другим следам, включая повторно использованные IP-адреса и адреса электронной почты, специалисты увидели сходство с операциями группировки Lazarus / Bluenoroff, связанной с Северной Кореей и известной атаками на криптовалютные компании.
Начальной точкой стал скомпрометированный ноутбук сотрудника. Через него злоумышленники получили устаревшие учётные данные, которые дали доступ к снимку системы с производственными секретами. После этого нападавшие расширили доступ к инфраструктуре, включая часть базы данных и некоторые криптовалютные кошельки.
О проблеме узнали не сразу. Команда заметила подозрительные покупки у поставщиков и быстро выяснила, что злоумышленники используют запасы подарочных карт. Одновременно начался вывод средств с горячих кошельков на подконтрольные адреса. После подтверждения взлома компания отключила все системы, чтобы остановить атаку.
Атака на Bitrefill вышла далеко за пределы обычного сбоя — из системы начали исчезать деньги, а злоумышленники незаметно добрались до внутренней инфраструктуры и части данных пользователей
Инцидент произошёл 1 марта 2026 года. По характеру атаки, использованному вредоносному коду и другим следам, включая повторно использованные IP-адреса и адреса электронной почты, специалисты увидели сходство с операциями группировки Lazarus / Bluenoroff, связанной с Северной Кореей и известной атаками на криптовалютные компании.
Начальной точкой стал скомпрометированный ноутбук сотрудника. Через него злоумышленники получили устаревшие учётные данные, которые дали доступ к снимку системы с производственными секретами. После этого нападавшие расширили доступ к инфраструктуре, включая часть базы данных и некоторые криптовалютные кошельки.
О проблеме узнали не сразу. Команда заметила подозрительные покупки у поставщиков и быстро выяснила, что злоумышленники используют запасы подарочных карт. Одновременно начался вывод средств с горячих кошельков на подконтрольные адреса. После подтверждения взлома компания отключила все системы, чтобы остановить атаку.