Преступники взломали, а потом склеили аппаратный криптокошелек

Олеся Афанасьева 15 Мая 2023 - 17:14

...

Преступники взломали, а потом склеили аппаратный криптокошелек

Киберпреступникам удалось украсть из аппаратного криптокошелька почти $30 000. Устройство не воровали и никуда не подключали. Настройки кошелька изменили еще до его продажи, сначала вскрыв механизм, а затем “посадив” его половинки на скотч.

О необычном киберпреступлении рассказали в “Лаборатории Касперского”. Из аппаратного криптокошелька, находившегося в сейфе, пропало 1,33 биткоинов (почти $30 000). Такое устройство напоминает USB-флешку, требует подключения к компьютеру и считается надежным способом хранения криптовалюты.

Операций в день кражи клиент не совершал, поэтому не сразу заметил исчезновение биткоинов.

Эксперты изучили сам криптокошелек и обнаружили признаки злонамеренного вмешательства.

Преступники вскрыли устройство еще до того, как оно попало к пользователю. Вместо ультразвуковой сварки специалисты обнаружили клей и двусторонний скотч. Кроме того, был установлен другой микроконтроллер с модифицированной прошивкой и загрузчиком.

Это значит, что аппаратный кошелек купили уже зараженным, при этом упаковка и голографические наклейки выглядели нетронутыми и не вызывали подозрений.

Злоумышленники внесли всего три изменения в оригинальную прошивку загрузчика и самого кошелька:

Удалили управление защитными механизмами.
На этапе инициализации или сброса кошелька случайно сгенерированная сид-фраза была заменена на одну из 20 заранее созданных фраз, сохраненных в модифицированной прошивке.
При установке дополнительного пароля для защиты мастер-ключа, использовался только первый символ пароля. Таким образом злоумышленникам нужно было перебрать всего 1280 вариантов, чтобы получить доступ к конкретному фальшивому кошельку.

Внешне криптокошелёк работал как обычно, но с самого начала мошенники имели над ним полный контроль.

“Хотя аппаратные кошельки считаются одним из самых безопасных способов хранения криптовалюты, злоумышленники нашли способ взломать их — продавать заражённые или поддельные устройства”, — предупреждает эксперт “Лаборатории Касперского” по кибербезопасности Станислав Голованов.

Таких атак можно избежать, добавляет он. Покупать подобные устройства нужно только у официальных источников, необходимо проверять целостность кошелька, обновлять прошивки на сайте производителя и пользоваться дополнительными средствами киберзащиты.

Темпы кражи криптовалюты продолжают угрожающе расти. Основной техникой остается фишинг. Согласно отчету “Лаборатории Касперского”, в 2022 году масштаб криптовалютного фишинга вырос на 40% в годовом исчислении: зарегистрировано 5 млн случаев против 3,5 млн в 2021 году.

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Екатерина Быстрова 13 Февраля 2026 - 14:14

Бэкдоры Трояны Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Head Mare атакует российские госструктуры новым бэкдором PhantomHeart

Хактивистская группировка Head Mare снова активизировалась. Аналитики Cyber Threat Intelligence «Лаборатории Касперского» в конце 2025 года зафиксировали новую волну целевых атак на российские госструктуры, строительные и промышленные компании. И судя по всему, инструментарий группы стал более продуманным и автоматизированным.

Главная находка — новый бэкдор PhantomHeart. Изначально он распространялся как DLL-библиотека, но позже злоумышленники переработали его в PowerShell-скрипт.

Это вписывается в стратегию Living-off-the-Land (LOTL), когда атакующие используют штатные инструменты Windows, чтобы не привлекать лишнего внимания. Чем меньше стороннего «зловреда» на диске, тем сложнее его обнаружить.

Вектор первоначального доступа остаётся прежним. Head Mare продолжает эксплуатировать уязвимость BDU:2025-10114 в TrueConf Server. В отдельных случаях используются и фишинговые рассылки. То есть проверенные способы проникновения сочетаются с обновлённой «начинкой» внутри сети.

PhantomHeart после запуска разворачивает SSH-туннель по команде с сервера управления. Это даёт операторам устойчивый удалённый доступ к системе. Параллельно бэкдор собирает базовую информацию: имя компьютера, домен, внешний IP и уникальный идентификатор.

Закрепление в системе тоже продумано: в одной из атак вредонос запускался через планировщик заданий под видом легитимного скрипта обновления в директории LiteManager — популярного инструмента удалённого администрирования. Фактически активность маскировалась под обычную работу ПО.

Кроме того, эксперты отмечают рост автоматизации. Head Mare добавила новые скрипты и утилиты для постэксплуатации. Они помогают автоматически закрепляться в системе, управлять привилегиями и организовывать сетевой доступ. Такой подход снижает «ручную» нагрузку на операторов и позволяет проводить больше атак с большей скоростью и повторяемостью.

Продукты «Лаборатории Касперского» детектируют используемые инструменты под различными вердиктами, включая HEUR:Trojan-Ransom.Win32., Backdoor.PowerShell.Agent.gen и Trojan.PowerShell.Agent..

Подробный технический разбор новой активности Head Mare опубликован на Securelist. Аналитики также отмечают, что тактики и процедуры этой группировки вписываются в более широкую картину угроз, описанную в отчёте «Записки цифрового ревизора: три кластера угроз в киберпространстве».

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!