В «Лаборатории Касперского» рассказали про нетривиальный ИБ-инцидент, связанный с кражей криптовалюты. Киберпреступники украли 1,33 биткоинов, что на момент проведения исследования составляло около 29 500 долларов США, с аппаратного кошелька.
Аппаратные кошельки считаются наиболее безопасным способом хранения цифровых активов, так как они представляют собой отдельные цифровые устройства, которые внешне напоминают USB-флешку. Для отправки криптовалютных активов и взаимодействия с децентрализованными финансовыми протоколами их требуется отдельно подключать к ПК или ноутбуку.
По словам специалистов по информационной безопасности «Лаборатории Касперского», в указанном случае хакерам удалось украсть денежные средства в биткоинах, пока кошелек лежал отключенный от интернета в сейфе владельца. В день кражи пострадавший пользователь не совершал никаких операций, поэтому сразу не заметил, что именно случилось с его цифровыми активами.
Эксперты по безопасности провели анализ аппаратного кошелька, с которого украли криптовалюту. После вскрытия устройства были выявлены признаки злонамеренного вмешательства в него, в частности, вместо ультразвуковой сварки две половинки устройства были склеены двусторонним скотчем. Помимо этого, вместо оригинального микроконтроллера был установлен какой-то «левый» микроконтроллер с модифицированной прошивкой загрузчика.
Выяснилось, что пользователь ранее приобрел аппаратный кошелек, который уже был заражен вредоносным ПО. Причем во время покупки, как отмечает пострадавший, заводская упаковка и все наклейки смотрелись нетронутыми и оригинальными, что и не вызвало никаких подозрений.
В «Лаборатории Касперского» подчеркнули, что киберпреступникам удалось внести изменения в оригинальную прошивку загрузчика и самого аппаратного кошелька:
- Они убрали управление защитными механизмами.
- В ходе инициализации или во время сброса кошелька случайно генерирующаяся seed-фраза менялась на одну из 20 предварительно созданных из сохраненной вредоносной прошивки.
- Если пользователь устанавливал еще один пароль для защиты мастер-ключа, то использовался только его первый символ.
В связи с этим, чтобы выполнить подбор ключа к конкретному поддельному кошельку, киберпреступникам нужно было перебрать всего 1 280 вариантов.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
