مورد مطالعاتی: کیف‌پول دیجیتالی سخت‌افزاریِ تقلبی

25 اردیبهشت 1402 مورد مطالعاتی: کیف‌پول دیجیتالی سخت‌افزاریِ تقلبی

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ از آنجایی که رمزارز هم راحت سرقت می‌شود و هم راحت می‌توان آن را نقد کرد، یکی از جذاب‌ترین دارایی‌های دیجیتال برای مهاجمین به حساب می‌آید. بر این اساس، سرمایه‌گذارانِ جدی اغلب برای محافظت از سرمایه‌های کریپتوی خود از کیف‌پول‌های کریپتوی سخت‌افزاری[1] یا فیزیکی استفاده می‌کنند. چنین کیف‌پولی رمزهای خصوصی را جایی به دور از کامپیوترها و اسمارت‌فون‌های آسیب‌پذیری نگه می‌دارد و امضای تراکنش‌ها را امن‌تر می‌سازد. اما متأسفانه داشتن کیف‌پول مجازی فیزیکی هم امنیت وجوه شما را تضمین نمی‌کند زیرا حتی آن‌ها نیز مدل تقلبی دارند! با ما همراه بمانید.

علائم هک

مهاجمین بسیار مخفیانه عمل می‌کنند: در یک روز سرنوشت‌ساز در تاریخ تراکنش کیف‌پول مجازی، عملیاتی ظاهر شد که در آن مقادیر بالایی پول به فرد دیگری منتقل شد. با این حال هیچ تراکنشی در آن روز توسط قربانی انجام نگرفت. افزون بر این کیف پول دیجیتال حتی به کامپیوتر وصل هم نبود!

کالبدشکافی کیف‌پول

قربانی کیف‌پول سخت‌افزاری برند معروف Trezor را خریده بود که از کدی تماماً منبع باز استفاده می‌کند (هم از حیث نرم‌افزاری و هم سخت‌افزاری) و مبتنی است بر میکروکنترلر محبوب به نام  STM32F427. فروشنده Trezor Model T کلی اقدامات امنیتی انجام داد که به لحاظ تئوریک باید به طور امنی دستگاه را از مهاجمین مصون نگه می‌داشت. هم جعبه و هم بدنه هر دو با برچسب‌های هولوگرافیک مهر و موم شده میکروکنترلر نیز در حالت محافظت خوانش فلش مموری (RDP 2) قرار دارد. بوت‌لودر امضای دیجیتال سفت‌افزار را چک کرده و در صورت شناسایی ناهنجاری پیام سفت‌افزار جعلی را نمایش می‌دهد و همه داده‌های داخل کیف‌پول را پاک می‌کند.

دسترسی به دستگاه و تأیید تراکنش‌ها به کد پین نیاز دارد (گرچه شاید این از کلید مستر دسترسی محافظت نکند؛ کلیدی که بنیاد تولید عبارت بازیابی[2] است) و این کد برای رمزگذاری مخزن (جایی که در آن نگه‌داری می‌شود) استفاده می‌شود. همچنین به عنوان یک گزینه شما افزون بر پین می‌توانید با پسوردی به ازای هر استاندارد BIP-39 از کلید مستر دسترسی محافظت کنید. در نگاه اول کیف‌پولی که ما بررسی کردیم به نظر درست شبیه به اصلی می‌آمد و هیچ نشانی از دستکاری شدن در آن نبود. این قطعه از فروشنده مورد اطمینانی خریداری شده بود و وبسایت آن نیز بسیار محبوب بود. همچنین استیکرهای هولوگرافیک روی جعبه و خود کیف پول نیز همگی سالم و بدون آسیب‌دیدگی بودند. وقتی کیف‌پول در حالت به روزرسانی اجرا شد، نسخه‌ی سفت‌افزاری 2.4.3 و نسخه بوت‌لودر 2.0.4 را نمایش داد.

هیچ‌چیزِ کیف‌پول مشکوک به نظر نمی‌آمد: رابط کاربری با اصلی‌اش هیچ فرقی نداشت و همه کارکردها درست بودند. با این همه به دلیل اینکه از سرقتی که از طریق آن اتفاق افتاده بود آگاه بودیم، کمی عمیق‌تر موضوع را بررسی کردیم و درست اینجا بود که به کشف جذابی رسیدیم:

متوجه شدیم فروشنده هرگز بوت‌لودر نسخه 2.0.4 عرضه نکرده! تاریخچه تغییر این پروژه در گیت‌هاب مشخصاٌ می‌گوید این نسخه به دلیل دستگاه‌های جعلی نادیده گرفته شده است. بعد از چنین بیانیه‌ی جذابی ما باید دست به چاقو می‌شدیم و کالبدشکافی را شروع می‌کردیم.

باز کردن بدنه کار سختی بود: دو نیم آن با کلی چسب روی نگه داشته شده بودند و دو طرف نیز نوار اولتراسونیک پوشانده شده بود؛ نواری که همه نسخه‌های  Trezor از کارخانه بدان مجهز می‌شوند. جالب‌تر اینکه داخل، میکروکنترلری تماماً متفاوت وجود داشت که رد و اثری از لحیم‌کاری را نشان می‌داد! به جای STM32F427 اصلی، این قطعه STM32F429 را به همراه یک فلش مموری میکروکنترلر دی‌اکتیوشده‌ داشت (RDP 0 به جای RDP 2).

در نتیجه، تئوری کیف‌پول مجازی فیزیکی صحت داشت: یک‌جور حمله کلاسیک عرضه تقاضا بود که در آن قربانی از همه‌جا بی‌خبر دستگاهی از پیش هک‌شده را می‌خرد. اما مکانیزم واقعی سرقت رمزارز هنوز نامشخص است.

سفت‌افزار تروجانی

نمی‌خواهیم از نو ماجرای کیف‌پول‌های دیجیتالی فیزیکی را تعریف کنیم اما بگذارید یک چیز را یادآور شویم: کیف‌پول کریپتو حاوی کلید مخصوص شماست و هر کسی آن را بداند می‌تواند هر تراکنشی را انجام داده و پول شما را خرج کند. این حقیقت که مهاجمین توانستند موقع آفلاین بودن کیف‌پول دست به تراکنش بزنند به این معناست که یا بعد از تولید کلید خصوصی آن را کپی کردند و یا از همان اول رمز را می‌دانستند! به لطف دی‌اکتیو شدن محافظت خوانش فلش‌مموری –که بچه‌های تیم ما تصمیم گرفتند بعد از اینکه میکروکنترلر در آن لحیم شد آن را روشن نکنند- براحتی سفت‌افزار کیف‌پول را استخراج کردیم (این کار را از طریق بازسازی کد انجام دادیم) و متوجه شدیم مهاجمین پیشتر کد خصوصی را می‌دانستند. اما چطور؟

بوت‌لودر اصلی و سفت‌افزار کیف‌پول فقط سه اصلاح دریافت کرده بودند: اول اینکه چک‌های بوت‌لودر روی مکانیزم‌های محافظتی و امضاهای دیجیتال پاک و در نتیجه مشکل «اسکرین قرمز» در طول چک اورجینال سفت‌افزار در مقطع استارت‌آپ حل شده بود. دوم اینکه در مرحله اولیه یا زمان ریست کردن کیف‌پول، عبارت بازیابی رندوم تولیدشده با 20 عبارت بازیابی از پیش تولیدشده و ذخیره‌شده در سفت‌افزار هک‌شده جایگزین شده بود.

دارنده آن را به جای آن عبارت بازیابی منحصر به فرد استفاده می‌کرده است. سوم اینکه اگر کاربر انتخاب می‌کرد برای دستگاه یک پسورد اضافی برای محافظت از مستر سید (عبارت برتر) راه‌اندازی کند –فقط سمبل اولیه‌اش یا هر کاراکتر ویژه دیگری- 64 ترکیب احتمالی تولید می‌شد. از این رو برای شکستن قفل کیف‌پول فقط بیست تا 64 متغیر می‌بایست لحاظ می‌شد. کریپتووالتِ فیک، عملکرد نرمالی داشت اما مهاجمین از همان ابتدا روی آن کنترل و دخل و تصرف داشتند.

بر اساس تاریخچه‌ی تراکنش، هیچ عجله‌ای هم در کار نبوده و مهاجمین یک ماهی را بعد از اینکه کیف‌پول اولین بار پیش از سرقت پول اعتبار بگیرد صبر کردند. دارنده هیچ محافظتی روی دستگاه پیاده نکرده بوده و درست از لحظه‌ای که پول داخل این کیف‌پول تروجانی شد دارنده شکست خورده اعلام شد.

چطور جلوی تهدید دستگاه تقلبی را بگیریم؟

نمی‌شود کیف‌پول دیجیتال واقعی را از تقلبی‌اش براحتی تشخیص داد مگر آنکه دانش خاص یا تجربه‌ای در کار باشد. اولین عمل امنیتی این است که مستقیم کیف‌پول را از خود فروشنده رسمی بگیرید و مدل‌هایی را انتخاب کنید که توسط میکروکنترلرها محافظت بشوند (حتی مدل‌های Trazor هم از این جهت ایده‌آل نیستند: کلی برند دیگر هست که تراشه‌ها و مکانیزم‌ محافظتی‌شن بهتر عمل می‌کند). باید به یاد داشته باشیم که حتی کیف‌پول اصلی و دستکاری‌نشده هم می‌تواند در برابر تعدادی تهدید آسیب‌پذیر باشد. اول از همه توصیه می‌کنیم از پسورد استفاده کنید (اگر پسورد توسط کیف‌پولتان پشتیبانی می‌شود) و البته برای همه کامپیوترها و اسمارت‌فون‌های خود راهکارهای امنیتی در نظر بگیرید.

 

[1]  hardware cryptowallet

[2] Seed phrase

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,500,350 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    11,254,100 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,125,410 ریال11,254,100 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    75,067,850 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,617,750 ریال21,235,500 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    15,225,925 ریال30,451,850 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    16,287,700 ریال32,575,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    67,563,925 ریال135,127,850 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    216,208,850 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    81,077,425 ریال162,154,850 ریال
    خرید
  • Kaspersky Small Office Security

    259,752,350 ریال
    خرید
  • Kaspersky Small Office Security

    94,590,925 ریال189,181,850 ریال
    خرید
  • Kaspersky Small Office Security

    302,545,100 ریال
    خرید
  • Kaspersky Small Office Security

    108,104,425 ریال216,208,850 ریال
    خرید
  • Kaspersky Small Office Security

    346,088,600 ریال
    خرید
  • Kaspersky Small Office Security

    121,617,925 ریال243,235,850 ریال
    خرید
  • Kaspersky Small Office Security

    388,881,350 ریال
    خرید
  • Kaspersky Small Office Security

    123,870,175 ریال247,740,350 ریال
    خرید
  • Kaspersky Small Office Security

    396,388,850 ریال
    خرید
  • Kaspersky Small Office Security

    174,545,800 ریال349,091,600 ریال
    خرید
  • Kaspersky Small Office Security

    558,550,850 ریال
    خرید
  • Kaspersky Small Office Security

    225,221,425 ریال450,442,850 ریال
    خرید
  • Kaspersky Small Office Security

    720,712,850 ریال
    خرید
  • Kaspersky Small Office Security

    272,143,300 ریال544,286,600 ریال
    خرید
  • Kaspersky Small Office Security

    870,862,850 ریال
    خرید
  • Kaspersky Small Office Security

    516,137,050 ریال1,032,274,100 ریال
    خرید
  • Kaspersky Small Office Security

    1,651,642,850 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد