บิทรีฟิล(Bitrefill) ถูกแฮ็กสูญคริปโต โยงฝีมือกลุ่มลาซารัส กรุ๊ป(Lazarus Group) เกาหลีเหนือ

แพลตฟอร์มชำระเงินด้วยบิตคอยน์(BTC) ‘บิทรีฟิล(Bitrefill)’ ถูกเจาะระบบจนทรัพย์สินคริปโตสูญหาย โดยถูกเชื่อมโยงว่าอยู่เบื้องหลังการโจมตีครั้งนี้คือกลุ่มแฮกเกอร์ ‘ลาซารัส กรุ๊ป(Lazarus Group)’ ที่มีความเกี่ยวข้องกับเกาหลีเหนือ เนื่องจาก ‘รูปแบบการโจมตี’ และหลักฐานบนระบบตรงกับคดีเก่าหลายกรณี

บิทรีฟิลระบุจากการสืบสวนเหตุ ‘ไซเบอร์โจมตี’ ที่เกิดขึ้นเมื่อวันที่ 1 มีนาคม พบ ‘แพตเทิร์นการโจมตี’ หลายจุดที่เชื่อมโยงกับกลุ่มลาซารัส/บลูโนโรฟ(BlueNoroff) ทั้งชนิดของมัลแวร์ เส้นทางการเคลื่อนย้ายสินทรัพย์บนเชน การใช้ IP และอีเมลซ้ำกับเหตุการณ์ก่อนหน้า ทำให้บริษัทมั่นใจว่าน่าจะเป็นฝีมือกลุ่มเดียวกัน

การโจมตีเริ่มจาก ‘โน้ตบุ๊กของพนักงาน’ ถูกฝังมัลแวร์ ก่อนที่ข้อมูลยืนยันตัวตนเก่าจะถูกขโมยไปจากเครื่องดังกล่าว แฮกเกอร์นำข้อมูลนั้นไปใช้เข้าถึงสแน็ปช็อตระบบที่เก็บ ‘ข้อมูลลับด้านปฏิบัติการ’ ของบริษัทเอาไว้

จากนั้นผู้โจมตีค่อยๆ ขยายสิทธิ์การเข้าถึงภายในระบบ จนไปถึงบางส่วนของฐานข้อมูลและกระเป๋าเงินคริปโตของบริษัท พร้อมกันนั้นก็เริ่มมี ‘รูปแบบการใช้งานผิดปกติ’ ในสต๊อกและกระแสการจัดหาบัตรของขวัญ (Gift Card) ทำให้ทีมงานตรวจพบความผิดปกติได้ในที่สุด

บิทรีฟิลยืนยันว่าเงินจากบาง ‘ฮอตวอลเล็ต’ ถูกย้ายออกไปยังที่อยู่กระเป๋าของผู้โจมตีโดยตรง เมื่อยืนยันการรั่วไหลได้ บริษัทจึงสั่งปิดระบบทั้งหมดทันทีเพื่อหยุดความเสียหายไม่ให้ลุกลาม

หลังเหตุการณ์ บริษัทได้ประสานงานร่วมกับผู้เชี่ยวชาญด้านความปลอดภัยภายนอก นักวิเคราะห์บล็อกเชน และหน่วยงานสืบสวน เพื่อร่วมกันติดตามร่องรอยการแฮ็กและเส้นทางการเงินบนเครือข่าย

ฝั่งข้อมูลลูกค้าดูเหมือนจะไม่ใช่ ‘เป้าหลัก’ ของแฮกเกอร์ จากการตรวจสอบล็อกการใช้งาน พบว่าผู้โจมตีทำเพียงการอ่านฐานข้อมูลในวงจำกัด ลักษณะเหมือนกำลังสำรวจความเป็นไปได้ในการขโมยข้อมูลมากกว่าการดูดข้อมูลครั้งใหญ่

อย่างไรก็ดี มี ‘ประวัติการซื้อ’ ประมาณ 18,500 รายการที่ถูกเข้าถึง ซึ่งในนั้นประกอบด้วยอีเมล ที่อยู่กระเป๋าคริปโตสำหรับชำระเงิน และข้อมูล IP ของผู้ใช้ บางส่วนมีชื่อจริงของลูกค้า แม้ข้อมูลส่วนนี้จะถูกเข้ารหัสไว้ แต่บริษัทก็ยอมรับว่ามี ‘ความเสี่ยงที่กุญแจถอดรหัสอาจถูกเปิดเผย’ จึงปฏิบัติให้ถือเป็นข้อมูลที่อาจรั่วไหลได้ และได้แจ้งเตือนผู้ใช้ที่ได้รับผลกระทบราว 1,000 รายเป็นการเฉพาะ

บิทรีฟิลระบุว่า ณ ตอนนี้ยังไม่มี ‘มาตรการเร่งด่วน’ ที่ผู้ใช้จำเป็นต้องทำ แต่แนะนำให้ระวัง ‘ข้อความหรือการติดต่อที่น่าสงสัย’ ที่อาจอ้างชื่อบริษัทหรือเกี่ยวข้องกับกระเป๋าคริปโต เพราะอาจเป็นฟิชชิ่งที่ตามมาจากเหตุการณ์ครั้งนี้

ด้านมาตรการเสริมความปลอดภัย บริษัทได้ปรับปรุง ‘การควบคุมสิทธิ์การเข้าถึง’ ยกระดับระบบมอนิเตอร์ความผิดปกติ และขยายขอบเขตการทดสอบเจาะระบบ (penetration test) เพื่ออุดช่องโหว่เพิ่มเติม พร้อมย้ำว่าจะชดเชยความเสียหายจากเหตุ ‘เงินคริปโตรั่วไหล’ ครั้งนี้ด้วยเงินทุนหมุนเวียนของบริษัทเองทั้งหมด

‘ลาซารัส กรุ๊ป’ ยังคงถูกมองว่าเป็นหนึ่งใน ‘ภัยคุกคามใหญ่สุดของวงการคริปโต’ แม้ระดับความปลอดภัยของผู้ให้บริการต่างๆ จะเข้มข้นขึ้นต่อเนื่อง โดยเมื่อเดือนกุมภาพันธ์ 2025 กลุ่มนี้ถูกชี้ว่าอยู่เบื้องหลังการแฮ็ก ‘ไบบิต(Bybit)’ สูญเงินกว่า 1.4 พันล้านดอลลาร์สหรัฐ คิดเป็นราว 2.1 ล้านล้านวอน ซึ่งกลายเป็นหนึ่งในคดีโจมตีคริปโตขนาดใหญ่ที่สุดในประวัติศาสตร์

นักวิเคราะห์ออนเชนชื่อดัง แจ็คเอ็กซ์บีที(ZachXBT) เคยชี้ว่า ในหลายคดีใหญ่ทั้งไบบิต, ดีเอ็มเอ็ม บิตคอยน์(DMM Bitcoin) และวาซิเร็กซ์(WazirX) กระบวนการ ‘ฟอกเงินคริปโต’ ของลาซารัสและพันธมิตรยังคงดำเนินไปได้ค่อนข้างราบรื่นเมื่อเทียบกับระดับการปราบปรามของรัฐ โดยเขาให้ ‘ความคิดเห็น’ ว่า “ตอนนี้เครือข่ายฟอกเงินกำลังเหนือกว่าศักยภาพการบังคับใช้กฎหมายอย่างชัดเจน”

โครงสร้างการโจมตีบิทรีฟิลในครั้งนี้ที่เริ่มจากการเจาะอุปกรณ์พนักงาน ก่อนไล่ยึดสิทธิ์ภายในระบบและดึงสินทรัพย์ออกจากกระเป๋า ‘แบบเป็นชั้นๆ’ สอดคล้องกับสไตล์ ‘โจมตีหลายขั้นตอนแล้วค่อยดูดทรัพย์สิน’ ที่ลาซารัสใช้ซ้ำแล้วซ้ำเล่า ‘ความคิดเห็น’ จากผู้เชี่ยวชาญด้านความปลอดภัยมองว่า เคสนี้ตอกย้ำว่าระบบป้องกันของธุรกิจคริปโตทั่วโลกยังถูกทดสอบอยู่ตลอดเวลา และผู้ให้บริการจำเป็นต้องเสริมเกราะในทุกจุด ตั้งแต่เครื่องมือของพนักงานไปจนถึงการเฝ้าระวังกิจกรรมบนเชนแบบเรียลไทม์ เพื่อรับมือกับกลุ่มแฮกเกอร์ระดับรัฐอย่างลาซารัส กรุ๊ปต่อไป