Prekyvietėje parduodama netikra „Ledger“ piniginė turi paslėptą mikroschemą ir programinę įrangą, skirtą akimirksniu pavogti pradinę frazę ir PIN kodus.
Kibernetinio saugumo tyrinėtojas iš Brazilijos atskleidė didelio masto sukčiavimo operaciją, nusipirkęs „Ledger” aparatinės įrangos piniginę iš Kinijos prekyvietės sąrašo, kuri atrodė teisėta ir kaina buvo tokia pati kaip oficialioje parduotuvėje. Pakuotė iš tolo atrodė originali, tačiau prietaisas buvo padirbtas.
Kai tyrėjas prijungė jį prie „Ledger Live“, įdiegto iš ledger.com, jis neatliko autentiško patikrinimo ir patvirtino, kad tai nėra tikras Ledger įrenginys. Dėl šio gedimo tyrėjas atidarė įrenginį ir ištyrė vidinę aparatinę bei programinę-aparatinę įrangą.
Klonuotos svetainės ir kenkėjiškos programos
Korpuso viduje tyrėjas aptiko visiškai kitokį lustą, o ne tokį, koks naudojamas aparatinėje piniginėje. Lustų ženklai buvo fiziškai nubraukti, kad būtų paslėpta tapatybė. Remiantis tyrėjo Reddit įrašu, įrenginyje taip pat buvo „WiFi“ ir „Bluetooth“ antena, kurios nėra tikrame „Ledger Nano S+”. Išanalizavę lusto išdėstymą, jie identifikavo jį kaip ESP32-S3 su vidine „flash“ atmintimi.
Kai įrenginys buvo paleistas, jis iš pradžių buvo užmaskuotas kaip Ledger Nano S+ 7704 su serijos numeriais ir Ledger gamyklos tapatybe, bet vėliau atskleidė tikrąjį gamintoją kaip Espressif Systems.
Išleidęs programinę-aparatinę įrangą ir ją apgręžęs, tyrėjas nustatė, kad įrenginyje sukurtas PIN kodas buvo išsaugotas grynuoju tekstu. Įrenginyje sugeneruotos piniginių pradinės frazės taip pat buvo saugomos paprastu tekstu. Programinėje įrangoje taip pat buvo kelios užkoduotos domeno nuorodos, nukreipiančios į išorinius komandų ir valdymo serverius. Šios išvados atskleidė, kad įrenginys buvo sukurtas rinkti jautrius piniginės duomenis su nuorodomis į išorinius serverius.
Tyrėjas taip pat ištyrė, kaip ataka galėtų veikti praktiškai. Nors aparatinėje įrangoje buvo „WiFi“ ir „Bluetooth“ antena, programinė įranga neparodė belaidžio duomenų perdavimo ar „WiFi“ prieigos taško ryšio. Jame taip pat nebuvo blogų USB scenarijų, skirtų klavišo įpurškimui ar terminalo komandoms. Vietoj to, ataka buvo pagrįsta vartotojo sąveika už paties įrenginio ribų.
Anot jų, sukčiai prasideda tada, kai vartotojas nuskaito pakuotėje esantį QR kodą. Šis QR kodas nukreipia į klonuotą svetainę, kuri atrodo kaip ledger.com. Iš ten vartotojai raginami atsisiųsti netikrą „Ledger Live“ programą, skirtą „Android“, „iOS“, „Windows“ ar „Mac“. Suklastota programėlė rodo padirbtą autentiško patikrinimo ekraną, kuris visada praeina. Tada vartotojai kuria pinigines ir užsirašo pradines frazes, manydami, kad sąranka yra saugi. Tuo tarpu netikra programa išfiltruoja pradines frazes į užpuoliko valdomus serverius.
Jums taip pat gali patikti:
Tyrėjas dekompiliavo netikros „Ledger Live“ programėlės „Android“ APK versiją ir aptiko papildomo kenkėjiško elgesio. Programa buvo sukurta naudojant „React Native“ ir „Hermes“ variklį. Jis buvo pasirašytas naudojant „Android“ derinimo sertifikatą, o ne tinkamą pasirašymo raktą. Jis perėmė APDU komandas tarp programos ir įrenginio, teikė slaptas užklausas išoriniams serveriams ir toliau veikė fone keletą minučių po uždarymo.
Ji taip pat paprašė vietos leidimo ir stebėjo piniginės likučius naudodama viešuosius raktus, kurie leido užpuolikams sekti indėlius ir sumas.
Ne DK saugumo trūkumas
Tyrėjas teigė, kad tai nėra nulinės dienos pažeidžiamumas ir ne Ledger saugumo dizaino trūkumas. Buvo patvirtinta, kad „Ledger“ autentiškas patikrinimas ir saugus elementas veikia tinkamai. Vietoj to, tai apibūdinama kaip sukčiavimo operacija, apimanti suklastotą aparatinę įrangą, kenkėjiškas programas ir išorinę infrastruktūrą. Visa operacija apima aparatūros įrenginius su ESP32-S3 lustais, Trojanizuotas programėles, skirtas Android ir kitoms platformoms, bei komandų ir valdymo serverius, naudojamus duomenų išfiltravimui.
Tyrėjas taip pat pridūrė, kad apie netikrus „Ledger“ įrenginius buvo pranešta ir anksčiau, tačiau šis atvejis yra kitoks, nes atvaizduoja visą sistemą, įskaitant aparatinę įrangą, programas, infrastruktūrą ir platinimą per fiktyvią įmonę, susietą su prekyvietės sąrašais. Tyrėjas pateikė ataskaitą „Ledger“ klientų sėkmės komandai ir ruošia visą techninį suskirstymą, toliau analizuodamas „Windows“, „MacOS“ ir „iOS“ versijas kenkėjiškas programas.
Prieš kelerius metus kitas „Reddit“ vartotojas pranešė, kad gavo „Ledger Nano X“ autentiškai atrodančioje pakuotėje, tačiau viduje esantis laiškas sukėlė susirūpinimą dėl rašybos ir gramatikos klaidų. Laiške teigiama, kad tai buvo pakaitalas po duomenų pažeidimo.
Vėliau saugos ekspertas nustatė, kad įrenginyje prie USB jungties buvo prijungta „flash drive“, skirta kenkėjiškų programų pristatymui ir galimai vagystei.
