«Лаборатория Касперского» обнаружила и изучила нетривиальный киберинцидент. Злоумышленники сумели украсть с аппаратного кошелька 1,33 биткойнов (на момент исследования на сумму 29 585 долларов). Причём кража состоялась, когда отключённое от интернета устройство лежало в сейфе владельца.
Как рассказали эксперты, аппаратные кошельки считаются более безопасным способом хранить цифровые активы, чем программные «горячие», поскольку для отправки криптовалюты или взаимодействия с децентрализованными финансовыми протоколами необходимо подключать отдельные USB-устройства к компьютеру.
Для кражи злоумышленникам пришлось заблаговременно физически вскрыть устройство, а также внести изменения в оригинальную прошивку загрузчика и самого кошелька. Внешне взломанный криптокошелёк работал как обычно, однако киберперступники уже получили полный контроль над ним. В «Лаборатории» рассказали:
Вместо ультразвуковой сварки половинки кошелька были залиты клеем и скреплены двусторонним скотчем. Кроме того, вместо оригинального был установлен другой микроконтроллер с модифицированной прошивкой и загрузчиком. Таким образом, оказалось, что жертва купила аппаратный кошелёк, который уже был заражён, причём во время покупки заводская упаковка и голографические наклейки выглядели нетронутыми и не вызывали подозрений.
Из прошивки злоумышленники убрали управление защитными механизмами. Также на этапе инициализации или при сбросе кошелька случайно сгенерированная сид-фраза заменялась на одну из 20 заранее созданных и сохранённых в мошеннической прошивке. В-третьих, если владелец устанавливал дополнительный пароль для защиты мастер-ключа, использовался лишь его первый символ. Таким образом, чтобы подобрать ключ к конкретному фальшивому кошельку, злоумышленникам нужно было перебрать всего 1280 вариантов.
Эксперт «Лаборатории Касперского» по кибербезопасности Станислав Голованов пояснил:
Хотя аппаратные кошельки считаются одним из самых безопасных способов хранения криптовалюты, злоумышленники нашли способ взломать их — продавать заражённые или поддельные устройства. Таких атак можно избежать. Мы настоятельно рекомендуем приобретать подобные устройства только у официальных и проверенных источников, чтобы минимизировать риски.