HackerangriffeCyberkriminalitätDatenschutz

Nordkoreanische Lazarus-Gruppe hinter Angriff auf Krypto-Plattform Bitrefill

Nordkoreanische Lazarus-Gruppe hinter Angriff auf Krypto-Plattform Bitrefill
Zusammenfassung

Der Kryptowährungs-Giftcard-Anbieter Bitrefill ist Anfang März Ziel eines massiven Cyberangriffs geworden, den das Unternehmen der nordkoreanischen Hacker-Gruppe Lazarus beziehungsweise Bluenoroff zuordnet. Die Angreifer infiltrierten die Systeme über ein kompromittiertes Mitarbeiter-Laptop, erbeuteten veraltete Zugangsdaten und verschafften sich damit Zugriff auf produktive Umgebungen, Teile der Datenbank sowie Kryptowährungs-Wallets. Etwa 18.500 Kundendatensätze mit E-Mail-Adressen, IP-Adressen und Kryptowährungs-Zahlungsadressen wurden kompromittiert, möglicherweise auch Verschlüsselungsschlüssel. Das Unternehmen, das weltweit über 600 Mobilfunkanbieter und tausende Marken verbindet, bezeichnet dies als schwersten Angriff seiner zehnjährigen Geschichte. Deutsche Nutzer und Unternehmen sind betroffen, wenn sie die Plattform nutzen. Die Attacke zeigt die wachsende Bedrohung durch staatliche nordkoreanische Hacker-Gruppen gegen die Kryptoindustrie und unterstreicht die Notwendigkeit verstärkter Cybersecurity-Maßnahmen auch in deutschen Unternehmen der Fintech- und Kryptobranche. Bitrefill hat umfangreiche Sicherheitsverbesserungen eingeleitet und die meisten Services wieder hergestellt.

Die Krypto-Handelsplattform Bitrefill machte am 2. März öffentlich, dass sie Opfer eines Cyberangriffs geworden ist. Nachdem das Unternehmen zunächst von “technischen Schwierigkeiten” sprach, enthüllte es später die volle Dimension des Vorfalls: Eine Sicherheitslücke hatte massive Auswirkungen auf die Services. Die nachfolgende Ermittlung offenbarte ein beunruhigendes Szenario: Angreifer hatten es auf die Kryptowährungsbestände und das Geschenkkarten-Inventar abgesehen.

Wie der Angriff ablief

Bitrefill identifizierte verdächtige Muster beim Einkaufsverhalten von Lieferanten, Manipulationen an der Geschenkkarten-Verfügbarkeit und Abhebungen aus sogenannten “Hot Wallets” – ständig online verfügbare Kryptowährungsspeicher. Die Ermittlung führte zu einem kompromittierten Laptop eines Mitarbeiters als Ursprung des Angriffs. Von dort aus gelangten die Angreifer in den Besitz veralteter Anmeldedaten und verschafften sich Zugang zu einer Abbildung von Produktionsgeheimnissen. Anschließend erweiterten sie ihre Zugriffe systematisch auf größere Teile der Bitrefill-Infrastruktur, einschließlich Datenbankkomponenten und Kryptowallet-Bestände.

Ausmaß der Datenpanne

Insgesamt wurden Daten aus etwa 18.500 Transaktionen kompromittiert, darunter E-Mail-Adressen, IP-Adressen und Kryptowährungszahlungsadressen. Bei 1.000 Käufen wurden zusätzlich Kundennamen preisgegeben. Bitrefill betont zwar, dass diese Informationen verschlüsselt vorliegen, räumt aber ein, dass die Angreifer möglicherweise auch Verschlüsselungsschlüssel erbeutet haben könnten.

Bluenoroff: Ein gefährliches Netzwerk

Bitrefill stützt seine Zuordnung auf mehrere Indikatoren: die Angriffsmethoden (Modus Operandi), die verwendete Malware, Blockchain-Spuren und wiederverwendete IP- sowie E-Mail-Adressen. Die Bluenoroff-Gruppe, auch als APT38 bekannt und Teil des Lazarus-Clusters, ist seit mindestens 2014 aktiv. Sie konzentriert sich gezielt auf finanzielle Einrichtungen und zielt in der Regel darauf ab, Kryptowährungen zu stehlen – ein perfekt passendes Profil für einen Angriff auf Bitrefill.

Reaktion und Konsequenzen

Bitrefill versichert, dass der Angriff der schwerwiegendste in der zehnjährigen Unternehmensgeschichte war, aber mit minimalen Verlusten abgelaufen sei. Das Unternehmen verstärkt nun Sicherheitsüberprüfungen, führt Penetrationstests durch, verstärkt Zugangskontrollen und optimiert Überwachungssysteme. Die meisten Services sind wieder online. Kunden werden aufgefordert, eingehende Mitteilungen kritisch zu hinterfragen und seien sonst zu keinen Maßnahmen verpflichtet.

Ähnliche Artikel