«Лаборатория Касперского» изучила нетривиальный киберинцидент, в ходе которого злоумышленникам удалось украсть 1,33 биткойнов (29 585 долларов США на момент исследования) с аппаратного кошелька. Аппаратные кошельки считаются более безопасным способом хранить цифровые активы, чем программные «горячие», потому что это отдельные цифровые устройства, внешне похожие на USB-флешку, и для отправки криптовалюты или взаимодействия с децентрализованными финансовыми протоколами их необходимо подключать к компьютеру.
Злоумышленники смогли украсть деньги, пока отключённое от интернета устройство лежало в сейфе владельца. В день кражи жертва не совершала с ним никаких операций, поэтому не сразу заметила, что произошло.
Как произошла кража. Эксперты проанализировали кошелёк, из которого были украдены криптоактивы, и, вскрыв устройство, обнаружили признаки злонамеренного вмешательства. Вместо ультразвуковой сварки половинки кошелька были залиты клеем и скреплены двусторонним скотчем. Кроме того, вместо оригинального был установлен другой микроконтроллер с модифицированной прошивкой и загрузчиком. Таким образом, оказалось, что жертва купила аппаратный кошелёк, который уже был заражён, причём во время покупки заводская упаковка и голографические наклейки выглядели нетронутыми и не вызывали подозрений.
Злоумышленники внесли всего три изменения в оригинальную прошивку загрузчика и самого кошелька. Во-первых, убрали управление защитными механизмами. Во-вторых, на этапе инициализации или при сбросе кошелька случайно сгенерированная сид-фраза заменялась на одну из 20 заранее созданных и сохранённых в мошеннической прошивке. В-третьих, если владелец устанавливал дополнительный пароль для защиты мастер-ключа, использовался лишь его первый символ. Таким образом, чтобы подобрать ключ к конкретному фальшивому кошельку, злоумышленникам нужно было перебрать всего 1280 вариантов.
Аппаратный кошелёк изнутри: слева оригинал, справа подделка
Казалось, что криптокошелёк работает как обычно, но с самого начала мошенники имели над ним полный контроль.
Хотя аппаратные кошельки считаются одним из самых безопасных способов хранения криптовалюты, злоумышленники нашли способ взломать их — продавать заражённые или поддельные устройства. Таких атак можно избежать. Мы настоятельно рекомендуем приобретать подобные устройства только у официальных и проверенных источников, чтобы минимизировать риски.
Станислав Голованов, эксперт «Лаборатории Касперского» по кибербезопасности.
Чтобы защитить криптоактивы от кибератак, «Лаборатория Касперского» рекомендует:
- покупать аппаратный кошелёк напрямую у официального производителя;
- перед покупкой проверять, нет ли следов взлома: царапин, следов клея, плохо стыкующихся деталей;
- отслеживать на сайте производителя обновления прошивки;
- защищать все устройства, с помощью которых кошелёк подключается к интернету, с помощью надёжного решения, такого как Kaspersky Premium;
- если на самом аппаратном кошельке можно установить пароль, выбрать сложный и уникальный, не использовать пароли от уже имеющихся аккаунтов и устройств.