Ibinunyag ng isang mananaliksik sa seguridad na nakabase sa Brazil ang isang pekeng operasyon ng Ledger Nano S+ na gumagamit ng nakakapinsalang firmware at mga pekeng app para ubusin ang mga wallet sa 20 blockchain.
Ibinunyag ng isang mananaliksik sa seguridad na nakabase sa Brazil ang isa sa pinakasopistikadong pekeng operasyon ng Ledger Nano S+ na naidokumento. Ang pekeng aparato, na nanggaling sa isang pamilihan sa China, ay may pasadyang nakakapinsalang firmware at isang klon na app. Agad na ninakaw ng umaatake ang bawat seed phrase na ipinasok ng mga user.
Binili ng mananaliksik ang aparato dahil sa pagdududa sa iregularidad ng presyo. Nang buksan ito, halatang-halata ang pagiging peke. Sa halip na itapon, isinagawa ang isang kumpletong pagbuwag.
Ang Nakatago sa Loob ng Chip
Ang tunay na Ledger Nano S+ ay gumagamit ng ST33 Secure Element chip. Ang aparatong ito ay may ESP32-S3 sa halip. Ang mga marka sa chip ay pisikal na kinainisan para hadlangan ang pagkilala. Ang firmware ay nagpakilala bilang “Ledger Nano S+ V2.1” β isang bersyon na hindi umiiral.
Natagpuan ng mga imbestigador ang mga seed at PIN na nakaimbak sa plain text pagkatapos magsagawa ng memory dump. Ang firmware ay nagpadala ng signal sa isang command-and-control server sa kkkhhhnnn[.]com. Anumang seed phrase na ipinasok sa hardware na ito ay agad na inilabas.
Ang aparato ay sumusuporta sa humigit-kumulang 20 blockchain para sa pag-ubos ng wallet. Hindi iyon isang maliit na operasyon.
Limang Attack Vector, Hindi Isa
Ibinundle ng nagbebenta ang isang binagong app na “Ledger Live” kasama ng aparato. Binuo ng mga developer ang app gamit ang React Native na may Hermes v96 at pinirmahan ito gamit ang isang Android Debug certificate. Hindi nag-abala ang mga umaatake na kumuha ng lehitimong pirma.
Ang app ay kumakabit sa XState para harangan ang mga APDU command. Gumagamit ito ng mga stealthy XHR request para tahimik na makuha ang datos. Nakilala ng mga imbestigador ang dalawa pang command-and-control server: s6s7smdxyzbsd7d7nsrx[.]icu at ysknfr[.]cn.
Hindi ito limitado sa Android. Ang parehong operasyon ay namamahagi ng .EXE para sa Windows at .DMG para sa macOS, na kahawig ng mga kampanyang tinutugis ng Moonlock sa ilalim ng AMOS/JandiInstaller. Umiikot din ang isang bersyon ng iOS TestFlight, na ganap na lumalampas sa pagsusuri ng App Store β isang taktikang dating nakaugnay sa mga CryptoRom scam. Limang vector sa kabuuan: hardware, Android, Windows, macOS, iOS.
Hindi Ka Maililigtas ng Genuine Check Dito
Kinukumpirma ng opisyal na gabay ng Ledger na ang mga tunay na aparato ay may lihim na cryptographic key na itinakda sa panahon ng pagmamanupaktura. Sinusuri ng Ledger Genuine Check sa Ledger Wallet ang key na ito sa tuwing kumokonekta ang isang aparato. Ayon sa support documentation ng Ledger, tanging isang tunay na aparato lamang ang makakapasa sa pagsusuring iyon.
Ang problema ay diretso. Ang isang kompromiso sa panahon ng pagmamanupaktura ay nagpapawalang-saysay sa anumang software check. Ang nakakapinsalang firmware ay gayahin ang sapat na inaasahang pag-uugali para makapagpatuloy lampas sa mga pangunahing pagsusuri. Direktang kinumpirma ito ng mananaliksik sa pagbuwag.
Ang mga nakaraang supply chain attack na tumatarget sa mga user ng Ledger ay paulit-ulit na nagpakita na hindi sapat ang pagpapatunay sa antas ng packaging lamang. Ang mga naidokumentong kaso sa BitcoinTalk ay nagtatala ng mga indibidwal na user na nawalan ng mahigit $200,000 dahil sa mga pekeng hardware wallet mula sa mga third-party marketplace.
Kung Saan Ipinagbibili ang mga Aparatong Ito
Ang mga third-party marketplace ang pangunahing channel ng distribusyon. Ang mga third-party seller sa Amazon, eBay, Mercado Livre, JD, at AliExpress ay pawang may naidokumentong kasaysayan ng paglilista ng mga nakompromisong hardware wallet, ayon sa mananaliksik sa Reddit post sa r/ledgerwallet.
Ang presyo ay sadyang kahina-hinala. Iyon ang pang-akit. Ang isang hindi opisyal na pinagmulan ay hindi nag-aalok ng diskwentong Ledger bilang isang deal β ipinagbibili nito ang isang nakompromisong produkto para pakinabangan ang umaatake.
Ang opisyal na channel ng Ledger ay ang sarili nitong e-commerce site sa Ledger.com at mga beripikadong tindahan sa Amazon sa 18 bansa. Wala nang ibang lugar ang may garantiya ng pagiging tunay.
Ang Susunod na Hakbang ng Mananaliksik
Naghanda ang koponan ng isang komprehensibong teknikal na ulat para sa Donjon team ng Ledger at sa phishing bounty program nito, at ilalabas nito ang buong write-up pagkatapos makumpleto ng Ledger ang panloob na pagsusuri nito.
Ginawang available ng mananaliksik ang mga IOC sa ibang mga propesyonal sa seguridad sa pamamagitan ng direktang mensahe. Maaaring makipag-ugnayan ang sinumang bumili ng aparato mula sa isang kahina-hinalang pinagmulan para sa tulong sa pagkilala.
Ang pangunahing mga red flag ay nananatiling simple. Ang isang pre-generated na seed phrase na kasama sa aparato ay isang scam. Ang dokumentasyon na humihiling sa mga user na mag-type ng seed phrase sa isang app ay isang scam. Agad na sirain ang aparato sa alinmang kaso.
Mag-iwan ng Tugon