Bitrefill bị cáo buộc trở thành mục tiêu tấn công của nhóm Lazarus, 18.500 bản ghi giao dịch Bitcoin(BTC) bị truy cập trái phép

Theo CoinDesk đưa tin ngày 20 tháng 1 năm 2024 (giờ địa phương), nền tảng thanh toán và thẻ quà tặng tiền mã hóa *“Bitcoin(BTC)”* Bitrefill cáo buộc nhóm tin tặc Lazarus có liên hệ với Triều Tiên đứng sau vụ tấn công mạng xảy ra ngày 1 tháng 3. Sự cố khiến một phần hạ tầng, ví tiền mã hóa và khoảng 18.500 bản ghi mua hàng bị truy cập trái phép. *từ Bitcoin(BTC)*

Bitrefill cho biết trong báo cáo chi tiết công bố trên X (trước đây là Twitter), kẻ tấn công đã chiếm được “production key” rồi chuyển tiền từ ví nóng sang địa chỉ bên ngoài. Một phần dữ liệu giao dịch chứa email, địa chỉ thanh toán tiền mã hóa và địa chỉ IP bị truy cập trái phép. Công ty khẳng định đã thông báo riêng tới các khách hàng bị ảnh hưởng và dùng vốn vận hành để bù đắp toàn bộ thiệt hại. Các hệ thống cốt lõi như thanh toán, quản lý tồn kho và tài khoản hiện phần lớn đã hoạt động bình thường, doanh số đang quay lại mức trước sự cố.

Theo Bitrefill, chiến thuật tấn công lần này rất giống với các vụ việc trước đây liên quan tới Lazarus, đặc biệt là nhánh Bluenoroff. Tin tặc thường bắt đầu bằng việc cài mã độc vào thiết bị, sau đó mở rộng quyền truy cập bên trong hệ thống. Dấu vết để lại gồm giao dịch *“on-chain”* (trên blockchain), địa chỉ IP và email tái sử dụng, trùng khớp với các chiến dịch đã được ghi nhận trước đó.

Trong quá khứ, Lazarus nhiều lần bị nghi đứng sau các vụ tấn công lớn nhắm vào dự án tiền mã hóa, gồm Ronin Network, cầu nối Horizon Bridge của Harmony, sàn WazirX và ví Atomic Wallet. Giới phân tích nhận định Lazarus có xu hướng tập trung vào “hạ tầng cốt lõi” của thị trường tiền mã hóa như sàn giao dịch, cầu nối, ví và các khóa vận hành, thay vì tấn công nhỏ lẻ người dùng cuối. *bình luận: Nếu nhận định này đúng, mọi doanh nghiệp xử lý khối lượng tài sản lớn trên blockchain đều nằm trong vùng rủi ro cao, đặc biệt là các nền tảng thanh toán và cầu nối chuỗi.*

Bitrefill cho biết điểm khởi phát của vụ tấn công là một chiếc laptop của nhân viên bị xâm nhập. Trong quá trình đó, một số “thông tin định danh cũ” (legacy credential) từng sử dụng trước đây bị lộ. Tin tặc dùng các dữ liệu này để mở rộng hiện diện trong hạ tầng Bitrefill, cuối cùng xâm nhập được vào một phần cơ sở dữ liệu và khu vực ví tiền mã hóa.

Sự cố chỉ được phát hiện sau khi đối tác cung ứng ghi nhận các mẫu giao dịch bất thường trong chuỗi cung ứng thẻ quà tặng. Hệ thống cảnh báo cho thấy tồn kho thẻ và nguồn cung bị khai thác trái phép, đồng thời tiền từ ví nóng bị rút về các địa chỉ không liên quan đến khách hàng. Để hạn chế lan rộng thiệt hại, Bitrefill lập tức cho dừng hoạt động một số hệ thống và chuyển chúng sang chế độ ngoại tuyến để cô lập tấn công.

Công ty nhấn mạnh họ đang vận hành một hạ tầng thương mại điện tử toàn cầu, kết nối hàng chục nhà cung cấp, hàng nghìn sản phẩm và nhiều phương thức thanh toán tại nhiều quốc gia, nên việc tắt toàn bộ hệ thống một cách an toàn rồi khởi động lại là quy trình phức tạp, không thể thực hiện đơn giản trong vài giờ.

Về dữ liệu khách hàng, Bitrefill phủ nhận kịch bản “rò rỉ toàn bộ cơ sở dữ liệu”. Nhật ký truy cập nội bộ cho thấy truy vấn của kẻ tấn công tập trung vào thông tin vận hành như số dư tiền mã hóa và tồn kho thẻ quà tặng, thay vì tìm cách trích xuất toàn bộ dữ liệu người dùng. Tuy vậy, công ty thừa nhận khoảng 18.500 bản ghi mua hàng đã bị truy cập. Các bản ghi này chứa địa chỉ email, địa chỉ thanh toán bằng tiền mã hóa và địa chỉ IP – toàn bộ đều là dạng metadata giao dịch. Trong số đó có khoảng 1.000 bản ghi đi kèm “tên người dùng đã mã hóa” gắn với một số sản phẩm nhất định. Bitrefill coi đây là nhóm có nguy cơ cao hơn và đã gửi email cảnh báo trực tiếp tới các khách hàng nằm trong danh sách này.

Nền tảng khẳng định chỉ lưu trữ “mức tối thiểu dữ liệu cá nhân” và không bắt buộc khách hàng phải thực hiện KYC (xác minh danh tính) khi sử dụng dịch vụ. Theo đánh giá hiện tại, người dùng không cần thực hiện thêm hành động kỹ thuật khẩn cấp. Dù vậy, Bitrefill khuyến nghị khách hàng hết sức cảnh giác với các liên hệ bất ngờ tự xưng là Bitrefill hoặc đề cập tới thanh toán tiền mã hóa, do nguy cơ gia tăng các chiến dịch lừa đảo và *phishing* sau vụ việc. *bình luận: Chính email, địa chỉ IP và lịch sử mua hàng là dữ liệu đủ để tin tặc dựng kịch bản lừa đảo “cá nhân hóa”, khiến người dùng dễ mất cảnh giác.*

Sau sự cố, Bitrefill tuyên bố đang tái thiết toàn diện hệ thống bảo mật. Công ty phối hợp với chuyên gia độc lập để tiến hành kiểm thử xâm nhập, siết chặt kiểm soát truy cập nội bộ, đồng thời tăng cường năng lực logging và giám sát nhằm rút ngắn thời gian phát hiện mối đe dọa. Quy trình ứng phó sự cố cũng được nâng cấp, trong đó có cơ chế tự động “tắt dịch vụ” trong trường hợp phát hiện dấu hiệu xâm nhập nghiêm trọng.

Giới quan sát cho rằng vụ việc tại Bitrefill là lời nhắc rõ ràng rằng các doanh nghiệp thanh toán và thương mại điện tử dùng *từ Bitcoin(BTC)* và các tiền mã hóa khác không chỉ đối mặt rủi ro *“on-chain”*. Quản lý khóa vận hành, bảo mật thiết bị đầu cuối của nhân viên và giám sát chuỗi cung ứng mới là điểm yếu thường bị khai thác. Khi khóa ví nóng bị chiếm đoạt, giao dịch tuy minh bạch trên blockchain nhưng cơ hội thu hồi tài sản gần như bằng không, đặt toàn bộ áp lực bồi thường lên vai doanh nghiệp. *bình luận: Về dài hạn, việc tách bạch hạ tầng ví nóng – ví lạnh, tự động hóa hạn mức rút tiền và tách quyền truy cập giữa vận hành – bảo mật có thể trở thành “chuẩn bắt buộc” cho các nền tảng thanh toán bằng tiền mã hóa quy mô lớn.*

Bitrefill thừa nhận “đây là một cuộc tấn công tinh vi và tàn khốc”, song nhấn mạnh công ty đã “sống sót” và sẽ tiếp tục chứng minh xứng đáng với niềm tin của khách hàng. Doanh nghiệp cho biết trong hơn 10 năm hoạt động, đây là “vụ tấn công lớn đầu tiên”, đồng thời khẳng định có đủ năng lực tài chính và lợi nhuận để tự hấp thụ toàn bộ tổn thất vận hành. *từ Bitcoin(BTC)*