我被黑客入侵,丢失了密码,以及它对苹果安全的影响。第1部分

2020-10-25 23:35:13

我被黑了。攻击者进入了我的几个账户(Apple Cloud、雅虎、Gmail、Telegram),发现了私钥、助记符种子,并盗走了价值数千美元的密码。

在这篇文章中,我将试图重现事件的确切时间线,损失,以及对这一事件如何发生的评论。我还会讲几个我还不明白的时刻(大部分在2FA左右),希望我的读者能帮助我。我还将分享一些小贴士,告诉你今天可以做些什么来保护自己免受发生在我身上的攻击。

这些活动发生在2020年10月4日星期日上午。早上9点到11点,格林尼治标准时间+8。我不在家,离我的两台MacBook很远。他们在家中处于冬眠模式,锁着,盖上了盖子。前一天晚上,我完成了我全新的MacBook Pro(2020)的安装。

我在周五(10月2日)收到了我的新MacBook(认证翻新,直接来自苹果)。周六晚上8点,我完成了设置。周日上午9点14分,袭击开始。我突然开始收到手机上的2FA短信通知。我们开始吧:

上午9:14-我收到新登录电报的通知。在此之前,我没有通过短信收到Telegram的任何2FA代码,也没有收到Telegram的聊天记录。(攻击者是否删除了代码?如果你登录了多个设备,Telegram不会向你发送确认短信代码,而是在应用程序内发送代码。

上午9点18分--刚过,我就收到了雅虎发来的登录确认电子邮件。“我们向<;电话号码>;发送了一个代码,该代码用于登录您的Yahoo帐户”:

攻击者将他们的Chrome与账户同步。这意味着存储在该帐户的Google密码管理器中的所有密码都泄露了。Chrome为您存储的所有密码提供轻松的CSV导出。我猜袭击者就是这么用的。在攻击的以下步骤中,导出的密码被用作字典。

上午9点28分-苹果公司2FA电话。我来接电话。机器人的声音读出了我的2FA,线就掉了下来。

上午9点40分,我回到了家。压力是通过屋顶的+我在大约3小时的早晨循环后大汗淋漓。我正在打开我的笔记本电脑,试着了解发生了什么事。开始更改更多密码。突然间:

上午10点09分-我收到通知说,我的一个钱包里有一些代币被拿走了。

黑客移动了约800ETH、约1700美元辛苦赚取的UNI、约209.73 ETH/BTC RSI套装、价值约40美元的WBTC、27 DAI等…。总计$3000++。

我的iCloud里储存了一些旧的热钱包。有些是以文件的形式存在的。有些在Apple Notes中作为受密码保护的笔记。我很快意识到这个问题已经升级到了一个全新的水平。几秒钟后,我意识到我应该开始从所有触碰过我的iCloud的钱包中提取资金。转移密码本身就有压力-总是有把钱寄到错误的地址,并永远失去它们的风险。在压力下进行转会,在那里每一秒都很重要,是下一个层次。我已经尽力了。“我要先把所有的代币都转账吗?还是所有的乙醚?哪个更值钱?黑客首先要找的是什么?“--千头万绪掠过我的脑海。

星期二-我试着调查发生了什么。为了以防万一有人访问了我的笔记本电脑,我决定看看日志。

在我被黑客攻击的几个小时里,我没有注意到任何活动。我的笔记本电脑睡着了。盖子是合上的。我确实记得有一些电池活动,但我觉得没有什么意义。大多数MAC唤醒几秒钟或几毫秒以执行一些维护活动。

星期三晚上-我的旧笔记本电脑有点慢(和往常一样),我决定重新启动它。当它开始启动时,它进入了“安装”模式。当Mac有一个重大的OS X更新时,它就会显示出来。我不记得有任何新的OS X版本问世,也没有任何等待安装…的更新。自然,我产生了怀疑。在等待安装完成几分钟后,没有取得太大进展。我想,考虑到最近的黑客攻击,我最好不要冒险。我最不想看到的就是一些恶意软件格式化我的硬盘。所以我强行关闭了我的Mac。第二天就把它带到了苹果店。

星期四--我去了苹果专卖店。令我相当惊讶的是,在重启电脑之后,苹果公司似乎没有人理解如何使用CLI。协助我的天才说,经过10分钟的交谈,我比他更有见识。(不过他人很好。)。这不是我当时想听到的。不管是谁。我们用外置硬盘重新启动了机器。我把我的重要文件搬出去了。然后我们又重新启动了我的笔记本电脑。大约20分钟后,我的笔记本电脑终于启动了。未格式化任何内容。我很高兴,…。就一会儿。

苹果天才设法找到了更多的资深天才,并将案件交给了他。只是巧合那家伙有网络取证背景。然而,苹果零售店的政策不允许他分享自己的观点或与我的机器互动,这超出了基本的“让我们重新安装操作系统”的级别。

如果您将私钥或助记符存储在您的Apple Notes或iCloud中,您可以随时使用它们。即使你有2FA。即使您的笔记受密码保护。任何东西都要用硬件钱包,不管你有多少密码。

请立即设置电报2FA密码。如果您的电报遭到黑客攻击,而您没有密码设置,黑客会为您设置密码。重置它的唯一方法就是重置你的整个账户。

确保您没有任何密码重复使用。甚至不是部分的。为您注册的每项新服务设置唯一的密码。将它们存储在密码管理器中。不要将您的主电子邮件存储在密码管理器中。记住一些主要的主密码,也不要重复使用它们。

不要将密码保存在您的Chrome中。或者,如果你这样做了,确保你的谷歌账户有多个级别的2FA。短信不是其中之一。

当你的笔记本电脑无人看管或晚上关机时,一定要关掉WiFi。或者,更好的做法是完全关闭它。合上盖子并将其置于休眠模式是不够的。您的笔记本电脑可以随时唤醒,即使在盖子关闭并且可以执行远程代码的情况下也是如此。

Malwarebytes--这是苹果推荐的,而且很管用。免费版本对于定期检查来说已经足够好了。

在第2部分中,我将介绍事件响应、取证、链分析以及攻击者的身份识别。我已经联系了几个来自网络安全和区块链领域的朋友,帮助我解决问题,拼凑出这个谜团。如果你想参与,帮助分析攻击并(希望)识别攻击者,请在推特(https://twitter.com/ksaitor))上与我联系,并跳转到我们的Google Doc。

James Pavur,Daniel Aaron,Tushar Singal,Sebastien Couture,Hitesh Suresh-感谢你们提供反馈并帮助澄清这一事件!