Podrobiony Ledger Nano S+ wykrada środki z portfeli w 20 sieciach

Brazylijski badacz bezpieczeństwa ujawnia operację podrabianego Ledger Nano S+ wykorzystującą złośliwe oprogramowanie układowe i fałszywe aplikacje do opróżniania portfeli w 20 blockchainach.

Brazylijski badacz bezpieczeństwa ujawnił jedną z najbardziej wyrafinowanych operacji podrabianego Ledger Nano S+, jakie kiedykolwiek udokumentowano. Fałszywe urządzenie, pochodzące z chińskiego marketplace'u, zawierało niestandardowe złośliwe oprogramowanie układowe i sklonowaną aplikację. Atakujący natychmiast wykradał każdą frazę seed wprowadzaną przez użytkowników.

Badacz kupił urządzenie podejrzewając nieprawidłowości cenowe. Po otwarciu podrobiany charakter był oczywisty. Zamiast go wyrzucić, przeprowadzono pełną analizę.

Co ukryto wewnątrz chipa

Oryginalny Ledger Nano S+ wykorzystuje chip ST33 Secure Element. To urządzenie miało zamiast tego ESP32-S3. Oznaczenia chipa zostały fizycznie zeszlifowane, aby zablokować identyfikację. Oprogramowanie układowe identyfikowało się jako "Ledger Nano S+ V2.1" — wersja, która nie istnieje.

Śledczy znaleźli seed i PIN-y przechowywane w postaci zwykłego tekstu po przeprowadzeniu zrzutu pamięci. Oprogramowanie układowe łączyło się z serwerem dowodzenia i kontroli pod adresem kkkhhhnnn[.]com. Każda fraza seed wprowadzona do tego sprzętu była natychmiast wyciągana.

Urządzenie obsługuje około 20 blockchainów do opróżniania portfeli. To nie jest drobna operacja.

Pięć wektorów ataku, nie jeden

Sprzedawca dołączył do urządzenia zmodyfikowaną aplikację "Ledger Live". Deweloperzy zbudowali aplikację przy użyciu React Native z Hermes v96 i podpisali ją certyfikatem Android Debug. Atakujący nie zadali sobie trudu, aby uzyskać legalny podpis.

Aplikacja podłącza się do XState, aby przechwytywać polecenia APDU. Wykorzystuje ukryte żądania XHR do cichego wyciągania danych. Śledczy zidentyfikowali dwa dodatkowe serwery dowodzenia i kontroli: s6s7smdxyzbsd7d7nsrx[.]icu i ysknfr[.]cn.

Nie ogranicza się to do Androida. Ta sama operacja dystrybuuje .EXE dla Windows i .DMG dla macOS, przypominając kampanie śledzone przez Moonlock pod nazwą AMOS/JandiInstaller. iOS Wersja TestFlight również krąży, całkowicie omijając weryfikację App Store — taktyka wcześniej powiązana z oszustwami CryptoRom. Łącznie pięć wektorów: sprzęt, Android, Windows, macOS, iOS.

Sprawdzenie autentyczności nie może cię tu uratować

Oficjalne wytyczne Ledger potwierdzają, że oryginalne urządzenia posiadają tajny klucz kryptograficzny ustawiony podczas produkcji. Ledger Genuine Check w Ledger Wallet weryfikuje ten klucz za każdym razem, gdy urządzenie się łączy. Według dokumentacji wsparcia Ledger, tylko oryginalne urządzenie może przejść tę kontrolę.

Problem jest prosty. Kompromitacja podczas produkcji sprawia, że każde sprawdzenie oprogramowania jest bezużyteczne. Złośliwe oprogramowanie układowe naśladuje wystarczająco dużo oczekiwanego zachowania, aby przejść podstawowe kontrole. Badacz potwierdził to bezpośrednio podczas analizy.

Wcześniejsze ataki na łańcuch dostaw wymierzone w użytkowników Ledger wielokrotnie pokazały, że sama weryfikacja na poziomie opakowania jest niewystarczająca. Udokumentowane przypadki na BitcoinTalk odnotowują straty pojedynczych użytkowników przekraczające 200 000 $ z powodu fałszywych portfeli sprzętowych z marketplace'ów firm trzecich.

Gdzie sprzedawane są te urządzenia

Marketplace'y firm trzecich są głównym kanałem dystrybucji. Sprzedawcy zewnętrzni Amazon, eBay, Mercado Livre, JD i AliExpress mają udokumentowaną historię wystawiania skompromitowanych portfeli sprzętowych, zauważył badacz w poście na Reddit na r/ledgerwallet.

Punkt cenowy jest celowo podejrzany. To jest przynęta. Nieoficjalne źródło nie oferuje przecenionego Ledgera jako okazji — sprzedaje skompromitowany produkt z korzyścią dla atakującego.

Oficjalne kanały Ledger to własna strona e-commerce na Ledger.com i zweryfikowane sklepy Amazon w 18 krajach. Nigdzie indziej nie ma żadnej gwarancji autentyczności.

Co badacz robi dalej

Zespół przygotował kompleksowy raport techniczny dla zespołu Donjon Ledger i jego programu nagród za phishing i opublikuje pełny opis po zakończeniu wewnętrznej analizy przez Ledger.

Badacz udostępnił IOC innym specjalistom ds. bezpieczeństwa za pośrednictwem wiadomości bezpośrednich. Każdy, kto kupił urządzenie z wątpliwego źródła, może zwrócić się o pomoc w identyfikacji.

Kluczowe czerwone flagi pozostają proste. Wstępnie wygenerowana fraza seed dołączona do urządzenia to oszustwo. Dokumentacja prosząca użytkowników o wpisanie frazy seed do aplikacji to oszustwo. W obu przypadkach natychmiast zniszcz urządzenie.

Post Counterfeit Ledger Nano S+ Drains Wallets Across 20 Chains ukazał się najpierw na Live Bitcoin News.