Как меня взломали, опустошили криптовалютные кошельки, и что сказали в Apple

Меня взломали. Злоумышленник получил доступ к нескольким учетным записям (Apple Cloud, Yahoo, Gmail, Telegram), нашел закрытые ключи, мнемоническую фразу и выкрал криптовалюту на несколько тысяч долларов.

В этой статье я попытаюсь воссоздать точную хронологию событий, подсчитать ущерб, и выскажу комментарии о том, как это могло произойти. Я также расскажу о нескольких моментах, в которых я еще не совсем разобрался (в основном, в области 2FA), надеюсь, что мои читатели смогут мне помочь. Я также поделюсь несколькими советами о том, что вы можете сделать сегодня, чтобы защитить себя от атак, подобных той, которая случилось со мной.

Хронология атаки

События произошли в воскресенье утром, 4 октября 2020 года. В промежутке с 9 до 11 утра, GMT +8. Меня не было дома, я находился далеко от двух своих MacBook'ов. Они были заблокированы, закрыты и находились в режиме гибернации. Накануне вечером я закончил настройку своего нового MacBook Pro (2020 г.).

Этот новый (сертифицированный, никем ранее не пользуемый, взятый в официальном магазине Apple) MacBook я получил в пятницу (2 октября). Суббота ~ 20:00. Я закончил настройку. Воскресенье, ~ 9:14, атака началась. Я внезапно начал получать SMS-уведомления c кодами подтверждения для входа в аккаунты на свой телефон.

9:14 - я получаю уведомление о новом входе в свой Telegram. До этого я не получал коды от Telegram через SMS или историю чатов. (Злоумышленник удалил код? Telegram не отправляет вам смс, если вы вошли в аккаунт на нескольких устройствах, вместо этого он отправляет код в приложении.)

9:15 - Код подтверждения от Yahoo. Опять же, я не запрашивал:

9.18 - Сразу после этого кода я получил письмо на почту с уведомлением о запросе на изменение пароля. «Мы отправили код на <номер телефона>, который использовался для входа в вашу учетную запись Yahoo»:

9.18 - пароль изменен:

9.20 - вход в старую учетную запись Gmail (Google Apps).

Злоумышленник синхронизировал свой Google Chrome с моей учетной записью. Это означает, что все пароли, которые хранились в диспетчере паролей Google для этой учетной записи, утекли. Chrome также позволяет их экспортировать в CSV. Я предполагаю, что злоумышленник использовал именно эту функцию. Экспортированные пароли использовались в качестве словаря на следующих этапах атаки.

9:28 - звонок из Apple. Я беру трубку. Голос робота зачитывает код подтверждения, и линия обрывается.

9.29 - Я получаю электронное письмо об успешном входе в Apple ID:

К 9.40 я добрался до дома. Стресс зашкаливал + пот бежит ручьем. Открываю свои ноутбуки, пытаясь понять, что происходит. Начинаю менять пароли. Как вдруг:

10:09. Получаю уведомления о перемещении токенов из одного из моих кошельков.

Эти кошельки вывели мои деньги:

0xc7a93685f6ae28d29d4a6e974a9c774f8ebbc904
0x8C46335777867367e279350eEDacdA5463de9029

Несколько несанкционированных транзакций, слив токенов и криптовалюты:

0x60c4082d976f245fc3c2ff52814cea5858a89423f7f81046da45809a5d0f37a1
0x31ab912f984a803ffd4e79340e050a31254535f07050242eb72dd360fce4a851
0xedff4cc789d7a53133a4451680f1e73321c52b5da1725432a4288ac4e418c356
0x929226416c83da6a4a2962368803c392b2d05b701aad419269b032e1a125c411
0x542e3f237013bd7e81b5b90fffc5c83aa46824a38e9fd535a533d5f00dddfaef
0x4a370b66e5ea3577dfe9fce2230fefda0d27de1cf913d9215953a534352652ae

Хакер вывел ~ 800 ETH, ~ 1700 долларов, заработанных кровью и потом UNI, ~ 209,73 долларов ETH / BTC RSI, ~ 40 долларов WBTC, 27 DAI и т. Д. На общую сумму 3000 долларов ++

У меня больше нет стресса. Я трясусь.

В моем iCloud хранилось несколько старых горячих кошельков. Некоторые в виде файла. Некоторые из них были защищены паролем, который был записан в Apple Notes. Я быстро понял, что проблема вышла на совершенно новый уровень. И через несколько секунд я также понял, что должен сам начать выводить средства со всех кошельков, которые привязаны к моему iCloud. Перевод криптовалюты сам по себе вызывает стресс - всегда есть риск отправить деньги не на тот адрес и потерять их навсегда. Выполнение трансферов под давлением, когда каждая секунда на счету, - это уже следующий уровень. Я сделал все возможное. «Могу ли я сначала перевести все токены? Или весь эфир? Что ценнее? Что будет делать хакер в первую очередь? » - в голове проносится тысяча мыслей.

Вторник. Я пытаюсь выяснить, что случилось. На случай, если кто-то физически получил доступ к моим ноутбукам, я решил посмотреть логи.

pmset -g log | grep -e “ Sleep “ -e “ Wake “

Это позволило мне узнать что происходило, когда оба компьютера были включены и выключены.

Я не заметил никакой активности в часы, когда меня взломали. Мои ноутбуки спали. Крышки были закрыты. Я помню небольшую активность батареи, но не вижу в ней ничего необычного. Большинство компьютеров Mac просыпаются на несколько секунд или мс, чтобы выполнить свои стандартные действия по обслуживанию.

В среду вечером - мой старый ноутбук работал немного медленно (как обычно), и я решил его перезагрузить. Когда он начал загружаться, он перешел в режим «Установка». Это бывает, когда на Mac приходит крупное обновление OS X. Я не помню, чтобы выходили какие-либо новые версии OS X или какие-либо обновления, ожидающие установки… естественно, у меня возникли подозрения. Я подумал, что с учетом недавнего взлома лучше не рисковать. Меньше всего мне нужно, чтобы какое-то вредоносное ПО отформатировало мой жесткий диск. Поэтому я принудительно выключил свой Mac. И на следующий день отнес его в магазин Apple Store.

Четверг - зашел в Apple Store. Я был очень удивлен, что никто в Apple, кажется, не понимает, как работать с CLI после перезагрузки компьютера. Гений, который мне помогал, сказал, что я более осведомлен, чем он, после 10 минут разговора. (Хотя он был очень мил.) Мы перезагрузили машину с помощью внешнего жесткого диска. Я переместил дорогие для меня файлы. И мы снова начали перезагружать мой ноутбук. Примерно через 20 минут он наконец запустился. Ничего не форматировалось. Я был счастлив… на мгновение.

Apple Genius удалось найти более дорогого Senior Genius и рассказать ему этот кейс. По невероятному совпадению, этот парень имел опыт работы в кибер-криминалистике. Однако правила розничного магазина Apple не позволяли ему делиться своим мнением или взаимодействовать с моими машинами за пределами базового уровня «давайте переустановим ОС».

Выводы и ошибки, которых следует избегать:

• Если вы храните закрытые ключи или мнемонику в Apple Notes или iCloud - к ним могут получить доступ посторонние. Даже если у вас установлена 2FA. Даже если ваши заметки защищены паролем. Используйте аппаратный кошелек для всего, независимо от того, сколько криптовалюты вы храните.
• Установите 2FA в Telegram прямо сейчас, если все еще не сделали этого. Если ваш Telegram взломают, а пароля у вас не будет - хакеры установят его за вас. И единственный способ сбросить его - сбросить всю учетную запись.
• Убедитесь, что вы нигде не используете пароль дважды, трижды и т.д. Даже частично. Создавайте уникальные пароли для каждого сервиса, на котором вы регистрируетесь. Сохраняйте их в диспетчере паролей. Не храните свой основной адрес электронной почты в диспетчере паролей. Запоминайте основные мастер-пароли и не используйте их повторно.
• Не сохраняйте пароли в Chrome. Или, если все-таки вы не можете от этого отказаться, убедитесь, что ваша учетная запись Google имеет несколько уровней 2FA защиты. СМС в этот список не входит.
• iCloud имеет ограниченные возможности безопасности. Рассмотрите возможность использования номера Google Voice в качестве 2FA.
• Когда вы оставляете ноутбук без присмотра или закрываете его на ночь, обязательно выключайте Wi-Fi. Или, еще лучше, выключайте его полностью. Недостаточно закрыть крышку и перевести в режим гибернации. Ваш ноутбук может проснуться в любой момент, чтобы выполнить код удаленно, даже если крышка закрыта.

Еще скриншоты

Прочитать оригинал этого материала на английском можно здесь.

Cybred - канал об информационной безопасности и конкурентной разведке, вдохновленный идеями олдскульных андеграундных интернет-сообществ о свободе распространения информации в сети и всеобщей взаимопомощи.