Эксперты «Лаборатории Касперского» рассказали о нетривиальном инциденте, который им довелось расследовать. Злоумышленникам удалось украсть 1,33 биткоина (29 585 долларов США на момент исследования) с аппаратного кошелька жертвы, пока устройство лежало в сейфе владельца, отключенное от интернета. При этом в день кражи пострадавший не совершал никаких операций с кошельком и не сразу заметил, что произошло.
Изучив кошелек, из которого были украдены криптоактивы, и, вскрыв устройство, исследователи обнаружили признаки злонамеренного вмешательства. Так, вместо ультразвуковой сварки половинки кошелька были залиты клеем и скреплены двусторонним скотчем. Кроме того, вместо оригинального был установлен другой микроконтроллер с модифицированной прошивкой и загрузчиком.
Таким образом, оказалось, что жертва купила аппаратный кошелек, который уже был заражен вредоносным ПО, причем во время покупки заводская упаковка и голографические наклейки выглядели нетронутыми и не вызывали подозрений.
Злоумышленники внесли всего три изменения в оригинальную прошивку загрузчика и самого кошелька. Во-первых, убрали управление защитными механизмами. Во-вторых, на этапе инициализации или при сбросе кошелька случайно сгенерированная seed-фраза заменялась на одну из 20 заранее созданных и сохраненных в мошеннической прошивке. В-третьих, если владелец устанавливал дополнительный пароль для защиты мастер-ключа, использовался лишь его первый символ. Таким образом, чтобы подобрать ключ к конкретному фальшивому кошельку, злоумышленникам нужно было перебрать всего 1280 вариантов.
Казалось, что криптокошелек работает как обычно, но с самого начала мошенники имели над ним полный контроль.
«Хотя аппаратные кошельки считаются одним из самых безопасных способов хранения криптовалюты, злоумышленники нашли способ взломать их — продавать зараженные или поддельные устройства. Таких атак можно избежать. Мы настоятельно рекомендуем приобретать подобные устройства только у официальных и проверенных источников, чтобы минимизировать риски», — комментирует Станислав Голованов, эксперт «Лаборатории Касперского» по кибербезопасности.