Хакеры украли 30 000 долларов, модифицировав аппаратный криптокошелек жертвы

Эксперты «Лаборатории Касперского» рассказали о нетривиальном инциденте, который им довелось расследовать. Злоумышленникам удалось украсть 1,33 биткоина (29 585 долларов США на момент исследования) с аппаратного кошелька жертвы, пока устройство лежало в сейфе владельца, отключенное от интернета. При этом в день кражи пострадавший не совершал никаких операций с кошельком и не сразу заметил, что произошло.

Изучив кошелек, из которого были украдены криптоактивы, и, вскрыв устройство, исследователи обнаружили признаки злонамеренного вмешательства. Так, вместо ультразвуковой сварки половинки кошелька были залиты клеем и скреплены двусторонним скотчем. Кроме того, вместо оригинального был установлен другой микроконтроллер с модифицированной прошивкой и загрузчиком.


Таким образом, оказалось, что жертва купила аппаратный кошелек, который уже был заражен вредоносным ПО, причем во время покупки заводская упаковка и голографические наклейки выглядели нетронутыми и не вызывали подозрений.

Злоумышленники внесли всего три изменения в оригинальную прошивку загрузчика и самого кошелька. Во-первых, убрали управление защитными механизмами. Во-вторых, на этапе инициализации или при сбросе кошелька случайно сгенерированная seed-фраза заменялась на одну из 20 заранее созданных и сохраненных в мошеннической прошивке. В-третьих, если владелец устанавливал дополнительный пароль для защиты мастер-ключа, использовался лишь его первый символ. Таким образом, чтобы подобрать ключ к конкретному фальшивому кошельку, злоумышленникам нужно было перебрать всего 1280 вариантов.

Казалось, что криптокошелек работает как обычно, но с самого начала мошенники имели над ним полный контроль.

«Хотя аппаратные кошельки считаются одним из самых безопасных способов хранения криптовалюты, злоумышленники нашли способ взломать их — продавать зараженные или поддельные устройства. Таких атак можно избежать. Мы настоятельно рекомендуем приобретать подобные устройства только у официальных и проверенных источников, чтобы минимизировать риски», — комментирует Станислав Голованов, эксперт «Лаборатории Касперского» по кибербезопасности.​

16.05.2023
https://xakep.ru/2023/05/16/hardware-wallet-hack/​