Поддельный Ledger Nano S+ выводит средства из кошельков на 20 цепочках

Исследователь по безопасности из Бразилии разоблачил поддельную операцию Ledger Nano S+ с использованием вредоносного прошивки и фальшивых приложений для кражи кошельков на 20 блокчейнах.

Бразильский специалист по безопасности раскрыл одну из самых сложных подделок Ledger Nano S+ за всю историю. Фальшивое устройство, приобретённое на китайском рынке, содержало кастомную вредоносную прошивку и клонированное приложение. Злоумышленник сразу же украл все фразы восстановления, которые вводили пользователи.

Исследователь купил устройство из-за подозрений в аномалиях с ценой. При вскрытии стало очевидно, что оно поддельное. Вместо того чтобы выбросить его, был проведён полный разбор.

Что было спрятано внутри чипа

Настоящий Ledger Nano S+ использует чип ST33 Secure Element. В этом устройстве стоял ESP32-S3. Маркировка чипа была физически зашлифована, чтобы скрыть идентификацию. Прошивка идентифицировалась как «Ledger Nano S+ V2.1» — такой версии не существует.

Следователи обнаружили в памяти открытые фразы и PIN-коды. После дампа памяти прошивка связывалась с командно-управляющим сервером kkkhhhnnn[.]com. Любая введённая в устройство фраза восстановления мгновенно передавалась злоумышленникам.

Устройство поддерживает примерно 20 блокчейнов для кражи средств. Это не мелкая операция.

Пять векторов атаки, а не один

Продавец поставлял вместе с устройством модифицированное приложение «Ledger Live». Разработчики создали его на React Native с использованием Hermes v96 и подписали сертификатом для отладки Android. Злоумышленники не заморачивались получением легитимной подписи.

Приложение перехватывает APDU-команды через XState. Оно использует скрытные запросы XHR для тихого извлечения данных. Следователи обнаружили два дополнительных командно-управляющих сервера: s6s7smdxyzbsd7d7nsrx[.]icu и ysknfr[.]cn.

Это не ограничивается Android. Та же операция распространяет .EXE для Windows и .DMG для macOS, напоминая кампании, отслеживаемые Moonlock под названиями AMOS/JandiInstaller. Также циркулирует версия для iOS через TestFlight, полностью обходящая проверку App Store — тактика, ранее связанная с мошенническими схемами CryptoRom. Всего пять векторов: аппаратное обеспечение, Android, Windows, macOS, iOS.

Генеральная проверка не спасёт вас

Официальные рекомендации Ledger подтверждают, что настоящие устройства содержат секретный криптографический ключ, установленный при производстве. Проверка подлинности Ledger в Ledger Wallet подтверждает наличие этого ключа при каждом подключении устройства. Согласно документации поддержки Ledger, только подлинное устройство может пройти такую проверку.

Проблема очевидна. Взлом на этапе производства делает любую программную проверку бесполезной. Вредоносная прошивка имитирует достаточное количество ожидаемого поведения, чтобы пройти базовые проверки. Исследователь подтвердил это прямо в разборе.

Прошлые атаки на цепочку поставок, нацеленные на пользователей Ledger, неоднократно показывали, что только проверка на уровне упаковки недостаточна. В случаях, зафиксированных на BitcoinTalk, отдельные пользователи теряли более 200 000 долларов из-за поддельных аппаратных кошельков с третьих рук.

Где продаются эти устройства

Третьесторонние маркетплейсы — основной канал распространения. Продавцы на Amazon, eBay, Mercado Livre, JD и AliExpress имеют задокументированную историю размещения скомпрометированных аппаратных кошельков, отметил исследователь в Reddit-посте на r/ledgerwallet.

Ценовая политика вызывает подозрения. Вот в чём ловушка. Неофициальный источник не предлагает скидочный Ledger как выгодную сделку — он продаёт скомпрометированный продукт, чтобы заработать на злоумышленнике.

Официальные каналы Ledger — это собственный интернет-магазин на Ledger.com и проверенные магазины на Amazon в 18 странах. В других местах гарантий подлинности нет.

Что дальше делает исследователь

Команда подготовила подробный технический отчёт для команды Donjon Ledger и программы по борьбе с фишингом, и опубликует полный разбор после завершения внутреннего анализа Ledger.

Исследователь предоставил IOCs другим специалистам по безопасности через личные сообщения. Любой, кто приобрёл устройство у сомнительного продавца, может обратиться за помощью в идентификации.

Главные тревожные признаки остаются простыми. Предварительно сгенерированная фраза восстановления, входящая в комплект — это мошенничество. Документация, требующая ввести фразу в приложение — тоже мошенничество. В любом случае устройство нужно уничтожить немедленно.