«Лаборатория Касперского» изучила нетривиальный киберинцидент, в ходе которого злоумышленникам удалось украсть 1,33 биткойнов (29 585 долларов США на момент исследования) с аппаратного кошелька.
Злоумышленники смогли украсть деньги, пока отключённое от интернета устройство лежало в сейфе владельца. В день кражи жертва не совершала с ним никаких операций, поэтому не сразу заметила, что произошло.
Как произошла кража. Эксперты проанализировали кошелёк, из которого были украдены криптоактивы, и, вскрыв устройство, обнаружили признаки злонамеренного вмешательства. Вместо ультразвуковой сварки половинки кошелька были залиты клеем и скреплены двусторонним скотчем. Кроме того, вместо оригинального был установлен другой микроконтроллер с модифицированной прошивкой и загрузчиком.
Таким образом, оказалось, что жертва купила аппаратный кошелёк, который уже был заражён, причём во время покупки заводская упаковка и голографические наклейки выглядели нетронутыми и не вызывали подозрений.
Злоумышленники внесли всего три изменения в оригинальную прошивку загрузчика и самого кошелька. Во-первых, убрали управление защитными механизмами. Во-вторых, на этапе инициализации или при сбросе кошелька случайно сгенерированная сид-фраза заменялась на одну из 20 заранее созданных и сохранённых в мошеннической прошивке. В-третьих, если владелец устанавливал дополнительный пароль для защиты мастер-ключа, использовался лишь его первый символ.
Таким образом, чтобы подобрать ключ к конкретному фальшивому кошельку, злоумышленникам нужно было перебрать всего 1280 вариантов.
source: kaspersky.ru/about/press-releases/2023_zloumyshlenniki-poddelali-apparatnyj-kriptokoshelyok-i-ukrali-iz-nego-bitkojnov-na-30-tysyach-dollarov
Злоумышленники смогли украсть деньги, пока отключённое от интернета устройство лежало в сейфе владельца. В день кражи жертва не совершала с ним никаких операций, поэтому не сразу заметила, что произошло.
Как произошла кража. Эксперты проанализировали кошелёк, из которого были украдены криптоактивы, и, вскрыв устройство, обнаружили признаки злонамеренного вмешательства. Вместо ультразвуковой сварки половинки кошелька были залиты клеем и скреплены двусторонним скотчем. Кроме того, вместо оригинального был установлен другой микроконтроллер с модифицированной прошивкой и загрузчиком.
Таким образом, оказалось, что жертва купила аппаратный кошелёк, который уже был заражён, причём во время покупки заводская упаковка и голографические наклейки выглядели нетронутыми и не вызывали подозрений.
Злоумышленники внесли всего три изменения в оригинальную прошивку загрузчика и самого кошелька. Во-первых, убрали управление защитными механизмами. Во-вторых, на этапе инициализации или при сбросе кошелька случайно сгенерированная сид-фраза заменялась на одну из 20 заранее созданных и сохранённых в мошеннической прошивке. В-третьих, если владелец устанавливал дополнительный пароль для защиты мастер-ключа, использовался лишь его первый символ.
Таким образом, чтобы подобрать ключ к конкретному фальшивому кошельку, злоумышленникам нужно было перебрать всего 1280 вариантов.
source: kaspersky.ru/about/press-releases/2023_zloumyshlenniki-poddelali-apparatnyj-kriptokoshelyok-i-ukrali-iz-nego-bitkojnov-na-30-tysyach-dollarov
