Курс биткоина обрушился после копеечной кражи криптовалюты

Безопасность Администратору Стратегия безопасности Пользователю E-commerce Веб-сервисы
мобильная версия
, Текст: Роман Георгиев
Злоумышленники смогли разослать фальшивые уведомления пользователям сервиса криптокошельков Electrum с призывом установить «обновление». Общие потери составили около 200 биткоинов – примерно $700 тыс.

Умно сработано

Неизвестным злоумышленникам удалось угнать порядка 200 биткоинов с помощью умной атаки на инфраструктуру, лежащую в основании криптокошельков Electrum.

Обладателям криптокошельков прямо из клиентского интерфейса выводилось сообщение с призывом скачать «обновление» со ссылкой на сторонний репозиторий GitHub. Обновление было вредоносным.

Атака началась 21 декабря 2018 г., и была остановлена только 28 декабря, когда администрация GitHub ликвидировала репозиторий злоумышленников. Однако разработчики Electrum предупреждают, что атака может возобновиться, как только хакеры создадут новый репозиторий или найдут какой-либо новый хостинг для своего вредоносного ПО.

Проблема в том, что уязвимость в инфраструктуре Electrum остаётся неисправленной, хотя некоторые шаги для защиты пользователей уже предприняты.

Как работает атака

Злоумышленник (если он был один) смог добавить десятки вредоносных серверов к сети Electrum

Владельцы кошельков Electrum инициируют транзакцию в биткоинах, и если информация о ней достигает вредоносный сервер, он присылает пользователю предложение скачать «обновление».

bitcoinchina600.jpg
После кражи 200 биткоинов у сервиса криптокошельков Electrum цена монеты упала с $4200 до $3600

Если пользователь его скачивает и устанавливает, то при следующем входе в интерфейс кошелька приложение запрашивает у пользователя код двухфакторной авторизации. Это уже признак атаки: легитимные кошельки запрашивают такие коды только в тех случаях, когда пользователь переводит куда-либо средства, а но не при запуске клиентского приложения.

Этот код затем используется для нелегитимного перевода средств на кошелёк злоумышленника.

Ключевая проблема состоит в том, что серверы Electrum могут выводить в клиентских приложениях сообщения любого содержания. Изначально злоумышленники нашли способ рассылать фальшивые уведомления о необходимости обновить приложения в формате Rich Text, включавшим прямые ссылки. В результате им удалось обмануть довольно приличное количество жертв.

Администраторы Electrum в итоге изменили функциональность сайта, и хакерские сообщения начали выводиться в виде обычного текста (содержащего, впрочем, всю разметку). Но даже несмотря на это нашлись пользователи, которые вручную копировали весь этот текст, переходили по ссылке и скачивали вредоносное «обновление», теряя в итоге свои биткоины.

Попытки смягчить ущерб

Разработчики Electrum сейчас пытаются выявить все вредоносные серверы и устранить уязвимость, которой воспользовался злоумышленник.

Интересно, что, хотя количество украденных средств относительно невелико, инцидент, по-видимому, сказался на стоимости биткоина: если 24 декабря 2018 г. его цена составляла $4214 за токен, то сейчас она снизилась до $3604.

«Биткоин в сущности проходит довольно продолжительный и болезненный процесс коррекции после рекорда, установленного в конце 2017 г., - отмечает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. - Нынешние колебания, даже если они связаны с описанной атакой, всё равно имеют значительно меньшую амплитуду, чем эта криптовалюта переживала до своего превращения в объект всемирного хайпа. Что же касается самой атаки, то, учитывая, чего смогли достичь злоумышленники, складывается впечатление, что инфраструктура Electrum слишком уязвима для вредоносного воздействия, чтобы пользователи могли доверять этим кошелькам свои средства».