- Регистрация
- 22.02.22
- Сообщения
- 195
- Сделки (гарант)
- 10
«Лаборатория Касперского» изучила нетривиальный киберинцидент — злоумышленники смогли украсть 1,33 BTC (29 585$ на момент исследования), пока отключённый от интернета аппаратный кошелек лежал в сейфе владельца. В день кражи жертва не совершала с ним никаких операций, поэтому не сразу заметила, что произошло.
Как произошла кража? Эксперты обнаружили признаки вмешательства в устройство — вместо ультразвуковой сварки половинки кошелька были залиты клеем и скреплены двусторонним скотчем. Кроме того, вместо оригинального был установлен другой микроконтроллер с модифицированной прошивкой и загрузчиком.
Таким образом, оказалось, что жертва купила аппаратный кошелёк, который уже был заражён, причём во время покупки заводская упаковка и голографические наклейки выглядели нетронутыми и не вызывали подозрений.
Злоумышленники внесли всего три изменения в оригинальную прошивку загрузчика и самого кошелька. Во-первых, убрали управление защитными механизмами. Во-вторых, на этапе инициализации или при сбросе кошелька случайно сгенерированная сид-фраза заменялась на одну из 20 заранее созданных и сохранённых в мошеннической прошивке. В-третьих, если владелец устанавливал дополнительный пароль для защиты мастер-ключа, использовался лишь его первый символ.
Таким образом, чтобы подобрать ключ к конкретному фальшивому кошельку, злоумышленникам нужно было перебрать всего 1280 вариантов.
Многоходовочка
Как произошла кража? Эксперты обнаружили признаки вмешательства в устройство — вместо ультразвуковой сварки половинки кошелька были залиты клеем и скреплены двусторонним скотчем. Кроме того, вместо оригинального был установлен другой микроконтроллер с модифицированной прошивкой и загрузчиком.
Таким образом, оказалось, что жертва купила аппаратный кошелёк, который уже был заражён, причём во время покупки заводская упаковка и голографические наклейки выглядели нетронутыми и не вызывали подозрений.
Злоумышленники внесли всего три изменения в оригинальную прошивку загрузчика и самого кошелька. Во-первых, убрали управление защитными механизмами. Во-вторых, на этапе инициализации или при сбросе кошелька случайно сгенерированная сид-фраза заменялась на одну из 20 заранее созданных и сохранённых в мошеннической прошивке. В-третьих, если владелец устанавливал дополнительный пароль для защиты мастер-ключа, использовался лишь его первый символ.
Таким образом, чтобы подобрать ключ к конкретному фальшивому кошельку, злоумышленникам нужно было перебрать всего 1280 вариантов.
Многоходовочка
