Специалист по кибербезопасности обнаружил продажу поддельных аппаратных кошельков Ledger Nano S+ в Китае. — tomshardware.com
Победа за теми, кто заботится о безопасности и криптографических аппаратных проверках. Бразильский специалист по кибербезопасности Жоже Мендес едва не стал жертвой изощренной фишинговой атаки с использованием аппаратного и программного обеспечения в виде поддельного криптовалютного кошелька Ledger Nano S+. Единственным барьером между виртуальной валютой Мендеса и удаленными операторами устройства было программное обеспечение Ledger, которое проверяло, что оно работает на легитимном оборудовании. История начинается с того, как Мендес решил заказать устройство Ledger на «крупном маркетплейсе» в Китае. Он пошел на это, потому что, будучи негражданином Китая, проживающим в Шэньчжэне, импорт устройства из-за границы, напрямую от Ledger, «сопряжен со своими собственными головными болями». Сообщается, что цена устройства была такой же, как у подлинного, но, тем не менее, Мендес сохранял бдительность и установил официальное программное обеспечение Ledger до того, как Nano S+ прибыл. Как и следовало ожидать, после прибытия устройства Мендес заметил, что это «явно» подделка, что было подтверждено программным обеспечением Ledger, которое пометило его как неоригинальное. Верный своей профессии, Мендес решил разобрать устройство, а не выбрасывать его, и обнаружил изощренную схему — ту, которая, вероятно, застает врасплох других ничего не подозревающих пользователей. Разобрав корпус, Мендес обнаружил, что все маркировки чипов были стерты, но в конечном итоге ему удалось идентифицировать центральный блок как систему на кристалле (SoC) ESP32-S3. Устройство подделывало свою идентификацию, заявляя, что это «Nano S+ 7704» с фабрики Ledger, с полным серийным номером. Проверив прошивку, Мендес быстро обнаружил свой тестовый PIN-код и сид-фразы для двух кошельков, а также жестко закодированные учетные данные для доступа к серверам C2 (командования и управления), которые похищали данные. Наличие антенн Wi-Fi и Bluetooth изначально навело Мендеса на мысль, что данные будут эксфильтроваться с помощью этих методов при подключении к общественному Wi-Fi или, возможно, через кейлоггер USB. Вместо этого он обнаружил, что на самом деле сбор данных осуществляет поддельное приложение Ledger. Неосторожные пользователи будут перенаправлены на страницу, похожую на клон ledger.com, откуда они смогут загрузить вредоносные приложения для Android, Windows или macOS. Он разобрал приложение и, конечно же, обнаружил, что оно подписано сертификатом Android Debug, отслеживает местоположение устройства даже после закрытия и отправляет данные на серверы C2. QR-код со ссылкой для загрузки, предположительно находящийся на упаковке или бумажной инструкции, был таким же скомпрометированным. В довершение всего, прошивка отслеживает балансы счетов через их публичные ключи, предположительно позволяя ворам услышать звук «ка-чинг!» при каждом зачислении средств. Эксперт считает, что это устройство продается пользователям криптовалют, впервые приобретающим аппаратный кошелек, в поисках дополнительной безопасности, и нетрудно представить, что оно хорошо справляется с этой задачей. Даже уставший профессионал может воспользоваться ссылкой для загрузки на коробке вместо того, чтобы переходить непосредственно на ledger.com. Мендес уведомил Ledger об этой изощренной фишинговой операции и опубликовал обновление, в котором пообещал приобрести дополнительные устройства, чтобы выяснить, насколько глубока эта кроличья нора. В конце концов, кто-то приложил много усилий для настройки всего этого. Излишне говорить, что если вы покупаете аппаратный криптовалютный кошелек или любое другое устройство, связанное с безопасностью, всегда приобретайте его у производителя или официального реселлера.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bruno Ferreira