Підроблений Ledger Nano S+ зливає гаманці на 20 ланцюжках

Бразький дослідник з безпеки викриває підроблений операцій Ledger Nano S+ із зловмисним прошивкою та фальшивими додатками для крадіжки гаманців на понад 20 блокчейнах.

Бразький дослідник з безпеки викрив один із найскладніших підроблених операцій Ledger Nano S+ коли-небудь задокументованих. Фальшивий пристрій, отриманий з китайського ринку, містив кастомне зловмисне прошивання та клонировану програму. Зловмисник одразу викрав усі фрази відновлення, які вводили користувачі.

Дослідник придбав пристрій через підозру щодо нерівномірностей у ціні. Відкривши його, він одразу зрозумів, що це підробка. Замість утилізації, було проведено повний розбір.

Що було приховано всередині чипа

Оригінальний Ledger Nano S+ використовує чип ST33 Secure Element. Цей пристрій мав ESP32-S3 замість нього. Маркування чипа було фізично знято для ускладнення ідентифікації. Прошивка ідентифікувала себе як “Ledger Nano S+ V2.1” — такої версії не існує.

Дослідники знайшли збережені у відкритому вигляді сид-фрази та PIN-коди після зняття пам’яті. Прошивка зв’язувалася з командно-контрольним сервером за адресою kkkhhhnnn[.]com. Вся введена у цей пристрій фраза відновлення миттєво витягувалася.

Пристрій підтримує приблизно 20 блокчейнів для крадіжки коштів. Це не дрібна операція.

П’ять векторів атаки, а не один

Продавець поставляв модифікований додаток “Ledger Live” разом із пристроєм. Розробники створили додаток за допомогою React Native з Hermes v96 і підписали його сертифікатом Android Debug. Зловмисники не намагалися отримати легітимний підпис.

Додаток підключається до XState для перехоплення команд APDU. Він використовує приховані запити XHR для безшумного витягання даних. Дослідники виявили ще два командно-контрольні сервери: s6s7smdxyzbsd7d7nsrx[.]icu та ysknfr[.]cn.

Це не обмежується Android. Та сама операція поширюється на .EXE для Windows і .DMG для macOS, що нагадують кампанії, відслідковані Moonlock під назвою AMOS/JandiInstaller. Також циркулює версія для iOS TestFlight, яка обходить перевірку App Store — тактика, пов’язана раніше з CryptoRom шахрайствами. Всього п’ять векторів: апаратне забезпечення, Android, Windows, macOS, iOS.

Офіційна перевірка не врятує вас тут

Офіційна інструкція Ledger підтверджує, що справжні пристрої мають секретний криптографічний ключ, встановлений під час виробництва. Перевірка справжності Ledger у Ledger Wallet підтверджує цей ключ щоразу, коли пристрій підключається. Згідно з документацією підтримки Ledger, лише справжній пристрій може пройти цю перевірку.

Проблема очевидна. Вразливість під час виробництва робить будь-яку програмну перевірку беззмістовною. Зловмисне прошивання імітує достатньо поведінки пристрою, щоб пройти базові перевірки. Це підтвердив дослідник під час розбору.

Минулі атаки на ланцюг постачання, спрямовані на користувачів Ledger, багаторазово показували, що перевірка на рівні упаковки сама по собі недостатня. Документовані випадки на BitcoinTalk фіксують втрату понад $200 000 окремими користувачами через підроблені апаратні гаманці з третіх рук.

Де продаються ці пристрої

Треті ринки — основний канал розповсюдження. Продавці на Amazon, eBay, Mercado Livre, JD і AliExpress мають задокументовану історію пропозиції компрометованих апаратних гаманців, зазначив дослідник у пості на Reddit у р/ledgerwallet.

Ціна навмисно підозріла. Це і є привабливість. Неофіційне джерело не пропонує знижений Ledger як вигідну пропозицію — воно продає компрометований продукт, щоб отримати вигоду для зловмисника.

Офіційні канали Ledger — це власний інтернет-магазин Ledger.com і перевірені магазини на Amazon у 18 країнах. Ніде більше не гарантується автентичність.

Що робить дослідник далі

Команда підготувала всебічний технічний звіт для команди Donjon Ledger і програми винагород за фішинг, і опублікує повний опис після завершення внутрішнього аналізу Ledger.

Дослідник надав IOCs іншим фахівцям з безпеки через прямі повідомлення. Ті, хто придбав пристрій у підозрілого джерела, можуть звернутися за допомогою у ідентифікації.

Основні ознаки — прості. Попередньо згенерована фраза відновлення, що йде з пристроєм, — шахрайство. Документація, яка просить користувачів ввести фразу у додаток, — шахрайство. У будь-якому випадку знищіть пристрій негайно.