نفوذگران موفق شدهاند تا با رخنه به زیرساخت الکتروم، بیش از 200 بیتکوین (معادل 3.3 میلیارد تومان) را در مدت حدود یک هفته از کاربران سرقت کنند.
الکتروم از جمله کیفهای پول ارز رمز است که در نقل و انتقالات بیتکوین مورد استفاده قرار میگیرد.
به گزارش شرکت مهندسی شبکه گستر، در این سرقت، مهاجمان از روشی بسیار هوشمندانه و خلاقانه بهره بردهاند. بدیننحو که با دستدرازی به شبکه الکتروم موجب نمایش پیامی جعلی بر روی کامپیوتر کاربر شده و با بهرهگیری از تکینکهای مهندسی اجتماعی او را متقاعد به دریافت و نصب یک کیف پول مخرب و جعلی که تا همین چندی پیش بر روی GitHub میزبانی میشد میکردهاند.
به نظر میرسد که این حمله که از 30 آذر ماه آغاز شده بوده موقتا متوقف شده است.
بهطور خلاصه اقدامات انجام شده در جریان این حمله را میتوان در مراحل زیر فهرست کرد:
- مهاجمان دهها سرور مخرب تحت کنترل خود را به شبکه الکتروم اضافه کردهاند. تا کنون 33 مورد از این سرورها شناسایی شده است. برآورد میشود که تعداد واقعی سرورهای مخرب عددی بین 40 تا 50 باشد.
- کاربر از طریق نسخه معتبر کیف پول الکتروم فرایند انتقال بیتکوین را آغاز میکند.
- درصورتی که نقل و انتقال به یکی از سرورهای مخرب ارجاع داده شود، سرور، پیامی را به کاربر ارسال میکند که در آن این طور وانمود میشود که برای ادامه کار باید نسخه بهروز شده از کیف پول الکتروم از طریق لینک درج شده در پیام که به انبارهای بر روی GitHub اشاره میکند دریافت شود. حال آن که فایل مورد اشاره در لینک مذکور، کیف پولی مخرب است که توسط مهاجمان مورد دستدرازی قرار گرفته است.
- کاربر کیف پول مخرب را دریافت و اجرا میکند.
- کیف پول جعلی از کاربر درخواست اصالتسنجی دو عاملی (2FA) میکند. موضوعی که میتواند برای یک کاربر آگاه هشداری برای ادامه کار ندادن باشد. (اصالتسنجی دو عاملی صرفا در زمان انتقال وجه و نه در زمان اجرای کیف پول صورت میپذیرد.)
- مهاجمان با در اختیار داشتن اطلاعات اصالتسنجی دو عاملی قربانی، بیتکوینهای او را به نشانیهای بیتکوین تحت کنترل خود منتقل میکنند.
یکی از اشکالاتی که مهاجمان را قادر به اجرای چنین حملهای کرده است فراهم بودن امکان نمایش پیام دلخواه از سوی سرورهای الکتروم است. بهخصوص آن که تا اندکی پیش امکان ارسال متنیهای موسوم به غنی شده (Rich Text Format) نیز فراهم بود. تصویر زیر نمونهای از این پیامها را با متن غنی شده نمایش میدهد.
پس از اطلاع از اجرای این حملات، تیم الکتروم پشتیبانی از قالب غنی شده را متوقف نمود که در نتیجه آن این پیامها به شکل زیر تغییر کرد.
در پی پیگیریهای انجام شده توسط تیم الکتروم و حذف انباره مخرب میزبانی شده بر روی GitHub که لینک درون پیام جعلی به آن اشاره میکند این حملات حداقل برای مدتی متوقف شده است.
اگر چه مدیران الکتروم اقداماتی را در خصوص مقاومسازی زیرساخت این کیف پول بیتکوین بهعمل آوردهاند اما با توجه به باقی ماندن سرورهای مخرب و عدم رفع آسیب پذیری اصلی، انتظار میرود که مهاجمان به زودی اجرای حملات خود را از سربگیرند.