Jak se nám podařilo zničit operaci hackerů z Ruska

Jak se nám podařilo zničit operaci hackerů z Ruska

Určitě jste už někdy slyšeli o útoku hackerů s cílem získat peníze od jejich obětí v kryptoměnách. A je jedno, jestli jde o firmu nebo jednotlivce - zajímaví jsou pro tyto typy hackerů všichni, kteří mají uloženou hodnotu (kryptoměny) v krypto peněženkách a k této hodnotě se chtějí dostat.

S tím souvisí i nedávno publikovaný článek, kde člověk přišel o své životní úspory jenom tím, že si stáhnul aplikaci pro hardwarovou peněženku Trezor a dal do ní svoji tajnou frázi. Problém byl v tom, že tato aplikace byla podvodná a i když byla k dispozici na iOS App Store, který striktně reguluje aplikace, tak její vývojáři našli způsob, jak tyto regulace obejít. Chlapík tak přišel o milion dolarů v bitcoinu a jediné, co mu ostalo, je vzpomínka na časy minulé. Tento problém byl jinak i na Google Play pro Android, takže není to jenom problém na Apple zařízeních.

Proč o tom píšeme? Zmíněný příběh nás natolik zaujal, že kolega Kamil se chopil investigace podvodných aplikací. Předtím, než se přesuneme k tomu, jaký jsme zvolili postup - pokud vás zajímají technické detaily, tak je k dispozici technický článek na Kamilově blogu v angličtině.

Prvním krokem bylo vyhledat aplikaci z platforem na distribuci software pro mobilní aplikace - konkrétně na Google Play pro Android. Aplikace Trezor nemá žádnou oficiální aplikaci a když se nějaká objeví, tak ji lidi ze Satoshi Labs (společnost za hardvérovou peněženkou Trezor) nahlásí dané síti. Hledání na Google Play přineslo výsledky poměrně rychle:

Google Play Store: Trezor app

Aplikace měla vícero 5-hvězdičkových fake hodnocení a několik komentářů, které varovali před používáním pochybné aplikace s 500+ staženími.

Trezor app fake reviews

Pro normálního člověka, který používá Trezor a chce mít mobilní appku, se to může jevit jako legitimní aplikace. Výrobce “Mobile wallet Trezor.io” však nemá s firmou Satoshi Labs nic společného.

Kamil teda stáhnul zdrojový kód aplikace ve formátu .apk z Google Play a začal v něm hledat záchytné body, které po sobě autoři aplikace zanechali. Po chvíli zjistil, že aplikace volá stránku https://sliu3err-restaurant.com/ a na ni přeposílá kromě Bitcoin adresy ještě jednu informaci, kterou od vás aplikace po spuštění chce. Jde o 12 až 24-slovní “recovery seed” - řetězec slov, pomoci kterého si můžete restartovat svůj seed (něco jako klíč k peněžence). S ní můžete posílat kryptoměny na jakoukoliv adresu, kam chcete. Není nutné dodat, že pokud má útočník tento seed a kryptoměny odešle, tak se ke svým penězům už nedostanete.

Dalším krokem bylo zjistit všechny informace o serveru, kde běží doména https://sliu3err-restaurant.com/ a ideálně najít bezpečnostní zranitelnost, přes kterou se můžeme dostat na server. To se podařilo a po analýze PHP souborů, které se používají na zpracování odeslaných informací jsme přišli na to, jak operace funguje. Server zpracoval recovery seed, který poslal na soukromý Telegram kanál (Telegram je komunikační nástroj podobný Whatsapp). Tato zpráva musí obsahovat token pro přístup do kanálu. Když se objevil na Telegram kanálu nový ukradený recovery seed, hackeři ho tam přečetli a použili k přesunu všech peněz na svoje účty. Token, který jsme získali, se používal i pro přístup do kanálu - tím pádem se mohl Kamil přihlásit do kanálu a pozdravit scammery. Jak to dopadlo, můžete vidět níže:

Russian hacker telegram conversations

API klíč Telegram bota, který odesílal ukradené passphrase do privátního Telegram channelu byl v jednom z PHP souborů na serveru. Channel byl pouze pro zvané, ale samotný bot měl práva na to pozvat nového uživatele. Bylo tak velmi jednoduché podívat se do dokumentace a poslat si pozvánku pro přístup. Operátor channelu Kamila hned z konverzace odstranil, to ale nebylo k ničemu platné, protože si ihned mohl vygenerovat novou pozvánku.

Po krátké konverzaci s black hat hackerem, odstranil Telegram bota z channelu a zablokoval ho. Pokud tak někdo odeslal své recovery seeds na phishing stránce, zpráva už do Telegram channelu nepřišla. Efektivně tak došlo k přerušení celé operace a Google po několika hodinách odebral falešnou aplikaci z Google Play Store.


Přidej se do našeho mailing listu

Chceš se dozvědět víc ohledně IT bezpečnosti? Tak si na správném místě.


TunaSec z.s.
Moldavská 527/3, Bohunice, 625 00 Brno
Phone  +420 774 071 231
Envelope  info@tunasec.com