Lazarus Group โดนแฉแฮก Bitrefill ระบายคริปโตทิ้ง พร้อมขโมยข้อมูลลูกค้ากว่า 18,500 ราย

Bitrefill แพลตฟอร์มที่ให้ผู้ใช้ชำระค่าสินค้าและบริการด้วยคริปโต รวมถึงซื้อบัตรของขวัญ ได้ออกมาเปิดเผยว่าถูกโจมตีทางไซเบอร์เมื่อวันที่ 1 มีนาคม 2569 ตามรายงานจาก Cointelegraph โดยการสอบสวนพบหลักฐานเชื่อมโยงผู้ก่อเหตุกับกลุ่มแฮกเกอร์ Lazarus Group และกลุ่มย่อย Bluenoroff ซึ่งเป็นกลุ่มปฏิบัติการทางไซเบอร์ที่มีความเชื่อมโยงกับรัฐบาลเกาหลีเหนือ ผลจากการโจมตีทำให้ฮอตวอลเล็ตของบริษัทถูกระบายออก และมีการเข้าถึงบันทึกการสั่งซื้อของลูกค้าประมาณ 18,500 รายการ Bitrefill ระบุว่าได้ระงับการทำงานของระบบทันทีที่ตรวจพบการบุกรุก และขณะนี้การดำเนินงานได้กลับมาเกือบเป็นปกติแล้ว

แฮกเกอร์เจาะจากแล็ปท็อปพนักงาน สู่ฮอตวอลเล็ตและฐานข้อมูลบริษัท

จากการสอบสวนพบว่าการโจมตีเริ่มต้นจากการเจาะแล็ปท็อปของพนักงานรายหนึ่ง ทำให้แฮกเกอร์สามารถดึงข้อมูลประจำตัวเก่าที่ยังเชื่อมโยงอยู่กับระบบการผลิตของบริษัทได้ จากนั้นจึงยกระดับการเข้าถึงไปยังโครงสร้างพื้นฐานที่กว้างขึ้น รวมถึงส่วนหนึ่งของฐานข้อมูลบริษัทและฮอตวอลเล็ตของสกุลเงินดิจิทัล อย่างไรก็ตาม Bitrefill ยืนยันว่าไม่มีหลักฐานว่าฐานข้อมูลทั้งหมดถูกดึงออกไป และการสำรวจข้อมูลของแฮกเกอร์ดูเหมือนจะเป็นการสำรวจแบบจำกัด ไม่ใช่การดึงข้อมูลขนาดใหญ่

ข้อมูลที่ถูกเข้าถึงรวมถึงที่อยู่อีเมล ที่อยู่กระเป๋าคริปโต และข้อมูลเมตาของ IP ของลูกค้า โดยในจำนวนบันทึก 18,500 รายการนั้น มีประมาณ 1,000 รายการที่รวมชื่อลูกค้าด้วย ซึ่งแม้จะถูกเข้ารหัสไว้ในฐานข้อมูล แต่ก็ถือว่ามีความเสี่ยงสูงกว่ารายการอื่น เนื่องจากผู้โจมตีอาจเข้าถึงคีย์การเข้ารหัสได้ Bitrefill ได้แจ้งเตือนผู้ใช้ที่ได้รับผลกระทบในกลุ่มนี้แยกต่างหากแล้ว

Bitrefill รับผิดชอบความเสียหาย ชี้รูปแบบโจมตีตรงกับปฏิบัติการ Lazarus Group

Bitrefill ยืนยันว่าจะรับผิดชอบความเสียหายทางการเงินทั้งหมดด้วยเงินทุนของบริษัทเอง โดยไม่ให้ผลกระทบตกไปถึงลูกค้า ทั้งนี้บริษัทได้ทำงานร่วมกับผู้เชี่ยวชาญด้านความปลอดภัย นักวิเคราะห์บนเชน และหน่วยงานบังคับใช้กฎหมายเพื่อสืบสวนเหตุการณ์ที่เกิดขึ้น ในส่วนของข้อมูลที่เชื่อมโยงกับ Lazarus Group นั้น Bitrefill ระบุว่าการสอบสวนพบความคล้ายคลึงกันหลายประการกับปฏิบัติการในอดีต ทั้งในแง่รูปแบบการปฏิบัติงาน มัลแวร์ที่ใช้ การติดตามบนเชน และการนำโครงสร้างพื้นฐาน เช่น ที่อยู่ IP และอีเมล กลับมาใช้ซ้ำ

น่าสังเกตว่า Bitrefill เป็นแพลตฟอร์มที่จัดเก็บข้อมูลส่วนบุคคลของผู้ใช้น้อยที่สุด และไม่บังคับให้ผู้ใช้ยืนยันตัวตน (KYC) สำหรับการซื้อส่วนใหญ่ ข้อมูลระบุตัวตนใดๆ จะถูกจัดการโดยผู้ให้บริการภายนอก ซึ่งทำให้ผลกระทบจากการรั่วไหลของข้อมูลในแง่ความเป็นส่วนตัวมีขอบเขตที่จำกัดกว่าแพลตฟอร์มอื่นที่เก็บข้อมูล KYC เต็มรูปแบบ อย่างไรก็ตาม บริษัทยังไม่ได้เปิดเผยจำนวนเงินคริปโตที่ถูกระบายออกจากฮอตวอลเล็ตอย่างชัดเจน

Lazarus Group กลุ่มแฮกเกอร์ระดับโลกที่ภัยคุกคามยังไม่หยุด

กลุ่ม Lazarus Group เป็นกลุ่มแฮกเกอร์ที่ถูกระบุว่ามีความเชื่อมโยงกับรัฐบาลเกาหลีเหนือ และมีประวัติการโจมตีแพลตฟอร์มคริปโตมาอย่างต่อเนื่อง กลุ่มนี้มักใช้กลยุทธ์วิศวกรรมสังคม (social engineering) และการเจาะระบบผ่านพนักงานเป็นจุดเริ่มต้น ก่อนจะขยายการเข้าถึงไปยังระบบที่ละเอียดอ่อนมากขึ้น การโจมตีครั้งนี้สะท้อนให้เห็นว่าแม้แต่แพลตฟอร์มที่ใส่ใจเรื่องความเป็นส่วนตัวของผู้ใช้ก็ยังไม่พ้นภัยจากกลุ่มผู้ก่อภัยคุกคามระดับสูง และย้ำเตือนว่าความปลอดภัยของพนักงานและการจัดการข้อมูลประจำตัวเป็นสิ่งสำคัญไม่แพ้ระบบรักษาความปลอดภัยทางเทคนิค

ส่วนตัวผู้เขียนมองว่าเหตุการณ์นี้น่าเป็นห่วงพอสมควร โดยเฉพาะในแง่ที่ว่า Lazarus Group ดูเหมือนจะไม่ได้หยุดพักเลย และเลือกเป้าหมายได้ชาญฉลาดขึ้นเรื่อยๆ การเจาะจากแล็ปท็อปพนักงานเป็นจุดอ่อนที่หลายองค์กรมองข้ามไป เพราะมักโฟกัสไปที่การป้องกันระบบหลักแต่ลืมว่า “คน” คือประตูด่านแรกสุด สิ่งที่ต้องจับตาต่อจากนี้คือว่า Bitrefill จะเปิดเผยมูลค่าคริปโตที่สูญหายจากฮอตวอลเล็ตเท่าไหร่ รวมถึงผลการสอบสวนร่วมกับหน่วยงานบังคับใช้กฎหมายจะนำไปสู่อะไร สำหรับผู้ที่ใช้งาน Bitrefill อยู่ควรเปลี่ยนรหัสผ่านและตรวจสอบกิจกรรมผิดปกติในบัญชีทันที แม้บริษัทจะบอกว่าควบคุมสถานการณ์ได้แล้วก็ตาม

ภาพจาก AI