Эксперты «Лаборатория Касперского» рассказали недавно о нетривиальном киберинциденте, в ходе которого злоумышленникам удалось украсть 1,33 биткойнов с аппаратного кошелька. Они также изучили этот случай и предостерегли пользователей.
Аппаратные кошельки считаются более безопасным способом хранить цифровые активы, чем программные «горячие», потому что это отдельные цифровые устройства, внешне похожие на USB-флешку, и для отправки криптовалюты или взаимодействия с децентрализованными финансовыми протоколами их необходимо подключать к компьютеру.
В данном случае, злоумышленники смогли украсть деньги, пока отключенное от интернета устройство лежало в сейфе владельца. Тем более, что в день кражи жертва не совершала с ним никаких операций, поэтому не сразу заметила, что произошло.
Как произошла кража
Специалисты проанализировали кошелек, из которого были украдены криптоактивы, и, вскрыв устройство, обнаружили признаки злонамеренного вмешательства. Вместо ультразвуковой сварки половинки кошелька были залиты клеем и скреплены двусторонним скотчем. Кроме того, вместо оригинального был установлен другой микроконтроллер с модифицированной прошивкой и загрузчиком.
Злоумышленники подделали аппаратный криптокошелек, и продали его потенциальной жертве
Таким образом, оказалось, что жертва купила аппаратный кошелек, который уже был заражен, причем во время покупки заводская упаковка и голографические наклейки выглядели нетронутыми и не вызывали подозрений.
Злоумышленники внесли всего три изменения в оригинальную прошивку загрузчика и самого кошелька.
Во-первых, убрали управление защитными механизмами.
Во-вторых, на этапе инициализации или при сбросе кошелька случайно сгенерированная сид-фраза заменялась на одну из 20 заранее созданных и сохраненных в мошеннической прошивке.
В-третьих, если владелец устанавливал дополнительный пароль для защиты мастер-ключа, использовался лишь его первый символ. Таким образом, чтобы подобрать ключ к конкретному фальшивому кошельку, злоумышленникам нужно было перебрать всего 1280 вариантов, резюмировали в Лаборатории Касперского (на текущий момент числится в списке провайдеров Finance Magnates RU).
Читайте больше на нашем Telegram-канале!