Posiadacze Monero zaatakowani. Portfele z oficjalnej strony kradły kryptowalutę

Maciej Olanicki, 20.11.2019 r.

Złośliwy mógłby powiedzieć, że niósł wilk razy kilka, ponieśli i wilka. Kryptowalutę Monero kojarzymy przede wszystkim za sprawą coraz popularniejszego internetowego szkodnika, jakim są osadzane na stronach krypty wydobywające kryptowalutę na sprzęcie odwiedzającego. Najczęściej kopią one właśnie Monero. Okazuje się, że także posiadacze Monero nie mogą czuć się bezpiecznie. Doszło bowiem do włamania na serwery strony getmonero.com.

Lata płyną, a wciąż nie dysponujemy choćby teoretycznym modelem ochrony przed przejęciami łańcucha dostaw. W efekcie niekiedy, jak było to w przypadku NotPetya, dochodzi do katastrofy. Właśnie przez atak serwery zaufanego dostawcy oprogramowania doszło do międzynarodowej kampanii ransomware, która sparaliżowała funkcjonowanie dziesiątek przedsiębiorstw, także w Polsce. Ofiarą podobnego, lecz dalece bardziej precyzyjnego i wyspecjalizowanego ataku stało się getmonero.com

Gwoli ścisłości – nie jest to giełda czy branżowy serwis, lecz oficjalna strona kryptowaluty, z której pobrać można między innymi oprogramowanie portfela. Co ważne, jest ono dostępne na Windowsa, macOS-a, Linuksa, ale też urządzenia z procesorami ARM, nie zabrakło aplikacji mobilnych. Nietrudno zatem wyobrazić sobie, jak katastrofalne w skutkach byłoby dla posiadaczy Monero zainfekowanie witryny malware. A do tego właśnie doszło.

To jednak nie koniec. W serwisie nie pojawiło się bowiem byle jakie szkodliwe oprogramowanie – instalatory portfeli Monero zamieniono na malware… kradnące Monero. Zagrożenie rozpoznali sami użytkownicy na podstawie braku zgodności wartości funkcji skrótu. Po instalacji trefnego portfela (mowa o wariancie obsługiwanym z poziomu wiersza poleceń), malware wysyłało klucz prywatny na zewnętrzny adres, a następnie przekazywano środki na portfel atakującego.

Nie znamy skali incydentu, ale co najmniej jedna osoba potwierdziła na Reddicie utratę kryptowaluty. Według oficjalnego oświadczenia podmieniony plik można było pobrać zaledwie przez około 35 minut, według wstępnych analiz zainfekowano wyłącznie instalatory wersji na Linuksa i Windowsa. Każdemu, kto pobrał instalator portfela Monero w postaci wiersza poleceń z oficjalnej strony w poniedziałek między 3:30 a 17:30 (gdzie te 35 minut?), zaleca się weryfikację zgodności hashów.

Zobacz też: Blockchain – rewolucja, która nigdy nie nadejdzie