Den Ausgangspunkt des Angriffs bildete laut Bitrefill ein kompromittierter Mitarbeiter-Laptop. Von diesem sei eine veraltete Zugangsberechtigung abgegriffen worden. “Diese Anmeldedaten verschafften Zugang zu einem Snapshot, der Produktionsgeheimnisse enthielt”, erklärte das Unternehmen. Von dort aus hätten die Angreifer ihren Zugriff auf die breitere Infrastruktur ausgeweitet, darunter Teile der Datenbank und bestimmte Kryptowährungs-Wallets.
Aufgedeckt wurde der Vorfall durch auffällige Einkaufsmuster bei bestimmten Lieferanten. Diese Auffälligkeiten deuteten darauf hin, dass die Gutschein-Bestände und Lieferketten ausgenutzt wurden. Einige Krypto-Wallets des Unternehmens wurden geleert; die Gelder wanderten in Wallets unter Kontrolle der Angreifer.
Wie viel entwendet wurde und ob die Mittel zurückgeholt werden konnten, geht aus der Stellungnahme nicht hervor. Auf Anfragen reagierte Bitrefill nicht. Das Unternehmen erklärte, die Verluste über sein Betriebskapital auffangen zu wollen.
Nach Darstellung von Bitrefill hatten es die Angreifer nicht auf die gesamte Kundendatenbank abgesehen. Sie führten demnach “eine begrenzte Zahl von Abfragen durch, die mit einem Auskundschaften vereinbar sind, um zu verstehen, was es zu stehlen gab – darunter Kryptowährung und der Gutschein-Bestand von Bitrefill”.
Im November teilte das US-Justizministerium mit, mehr als 15 Millionen US-Dollar sichergestellt zu haben, die Lazarus bei vier separaten Vorfällen im Jahr 2023 gestohlen hatte. Die Gruppe ist mutmaßlich innerhalb des nordkoreanischen Reconnaissance General Bureau organisiert und hat über die vergangenen neun Jahre Kryptowährung im Wert von Milliarden erbeutet.
Nach Angaben des Blockchain-Analyseunternehmens Chainalysis stahlen mit der nordkoreanischen Regierung verbundene Hackergruppen 2024 Kryptowährung im Wert von 1,3 Milliarden US-Dollar bei 47 Vorfällen. Insgesamt sollen nordkoreanische Hacker im vergangenen Jahr Kryptowerte von mehr als 2 Milliarden US-Dollar entwendet haben. Ein Großteil dieser Summe entfällt auf den Diebstahl von 1,5 Milliarden US-Dollar bei der in Dubai ansässigen Plattform Bybit im Februar. Südkoreanische Behörden warfen Nordkorea zudem vor, der Krypto-Plattform Upbit 30 Millionen US-Dollar in Kryptowährung gestohlen zu haben.
Wie auch beim Angriff auf Bitrefill konzentrieren sich nordkoreanische Akteure typischerweise auf den Diebstahl privater Schlüssel oder Geheimnisse, die einer Person die volle Kontrolle über digitale Vermögenswerte verschaffen. Seit Chainalysis 2022 mit der Erfassung begann, hat Nordkorea Kryptowerte von 6,8 Milliarden US-Dollar gestohlen. Die Vereinten Nationen erklärten 2024, sie verfolgten Dutzende Vorfälle über einen Zeitraum von fünf Jahren, die Nordkorea rund 3 Milliarden US-Dollar eingebracht hätten.
