У канцы 2019 года ў аддзел расследаванняў кіберзлачынстваў Group-IB звярнуліся некалькі расійскіх прадпрымальнікаў, якія сутыкнуліся з праблемай несанкцыянаванага доступу невядомых да іх ліставання ў мэсэнджэры Telegram. Інцыдэнты адбываліся на прыладах iOS і Android, незалежна ад таго кліентам якога федэральнага аператара сотавай сувязі з'яўляўся пацярпелы.
Атака пачыналася з таго, што ў мэсанджар Telegram карыстачу прыходзіла паведамленне ад сэрвіснага канала Telegram (гэта афіцыйны канал мэсэнджэра з сіняй галачкай верыфікацыі) з кодам пацверджання, які карыстач не запытваў. Пасля гэтага на смартфон ахвяры падала СМС з кодам актывацыі - і практычна адразу ж у сэрвісны канал Telegram прыходзіла апавяшчэнне аб тым, што ў рахунак быў зроблены ўваход з новага прылады.
Ва ўсіх выпадках, аб якіх вядома Group-IB, зламыснікі заходзілі ў чужы акаўнт праз мабільны інтэрнэт (верагодна, выкарыстоўваліся аднаразовыя сім-карты), а IP-адрас атакавалых у большасці выпадкаў знаходзіўся ў Самары.
Доступ на замову
Даследаванне Лабараторыі кампутарнай крыміналістыкі Group-IB, куды былі перададзены электронныя прылады пацярпелых, паказала, што тэхніка не была заражаная шпіёнскай шкоднаснай праграмай або банкаўскім траянам, уліковыя запісы не ўзламаныя, падмены SIM-карты зроблена не было. Ва ўсіх выпадках зламыснікі атрымлівалі доступ да месэнджэра ахвяры з дапамогай СМС-кодаў, якія атрымліваюцца пры ўваходзе ў рахунак з новай прылады.
Гэтая працэдура выглядае наступным чынам: пры актывацыі месэнджэра на новай прыладзе, Telegram адпраўляе код праз сэрвісны канал на ўсе прылады карыстальніка, а потым ужо (па запыце) на тэлефон сыходзіць СМС-паведамленне. Ведаючы аб гэтым, зламыснікі самі ініцыююць запыт на адпраўку месэнджэрам СМС з кодам актывацыі, перахапляюць гэта СМС і выкарыстоўваюць атрыманы код для паспяховай аўтарызацыі ў месэнджэры.
Такім чынам, атакавалыя атрымліваюць нелегальны доступ да ўсіх бягучых чатаў, акрамя сакрэтных, а таксама да гісторыі перапіскі ў гэтых чатах, у тым ліку да файлаў і фатаграфій, якія ў іх перасылаліся. Выявіўшы гэта, легальны карыстач Telegram можа прымусова завяршыць сесію зламысніка. Дзякуючы рэалізаванага механізму абароны зваротнага адбыцца не можа, зламыснік не можа завяршыць больш старыя сесіі сапраўднага карыстальніка на працягу 24 гадзін. Таму важна своечасова выявіць староннію сесію і завяршыць яе, каб не страціць доступ да акаўнта. Спецыялісты Group-IB накіравалі апавяшчэнне камандзе Telegram аб сваім даследаванні сітуацыі.
Вывучэнне інцыдэнтаў працягваецца, і на дадзены момант дакладна не ўстаноўлена, якая менавіта схема выкарыстоўвалася для абыходу фактара СМС. У розны час даследнікі прыводзілі прыклады перахопу СМС з дапамогай нападаў на пратаколы SS7 або Diameter, выкарыстоўваныя ў мабільных сетках. Тэарэтычна падобныя напады могуць быць рэалізаваны з нелегальным выкарыстаннем адмысловых тэхнічных сродкаў ці інсайда ў аператарах сотавай сувязі. У прыватнасці, на хакерскіх форумах у Даркнеце свежыя аб'явы з прапановамі ўзлому розных месэнджараў, у тым ліку і Telegram.
«Спецыялісты ў розных краінах, у тым ліку і ў Расіі, неаднаразова заяўлялі аб тым, што сацыяльныя сеткі, мабільны банкінг і месэнджары можна ўзламаць з дапамогай уразлівасці ў пратаколе SS7, аднак гэта былі адзінкавыя выпадкі мэтанакіраваных нападаў або эксперыментальных даследаванняў, - каментуе Сяргей Лупанін. , Кіраўнік аддзела расследаванняў кіберзлачынстваў Group-IB, - У серыі новых інцыдэнтаў, якіх ужо больш за 10, відавочна жаданне атакавалых паставіць гэты спосаб заробку на паток. Для таго, каб гэтага не адбылося, неабходна падвышаць уласны ўзровень лічбавай гігіены: як мінімум выкарыстоўваць двухфактарную аўтэнтыфікацыю ўсюды, дзе магчыма, і дадаваць да СМС абавязковы другі фактар, што функцыянальна закладзена ў тым жа Telegram».
Як абараніцца?
1. У Telegram ужо рэалізаваны ўсе неабходныя опцыі кібербяспекі, якія звядуць намаганні атакавалых на нішто.
2. На прыладах iOS і Android для Telegram неабходна перайсці ў налады Telegram, абраць укладку "Канфідэнцыяльнасць" і прызначыць "Хмарны парольДвухкрокавую праверку" або "Two step verification". Дэталёвае апісанне па ўключэнні гэтай опцыі дадзена ў інструкцыі на афіцыйным сайце месэнджэра: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Важна не ўстанаўліваць адрас электроннай пошты для аднаўлення гэтага пароля, паколькі, як правіла, аднаўленне пароля да электроннай пошты таксама адбываецца праз СМС. Аналагічнай выявай можна падвысіць абарону акаўнта ў WhatsApp.
Крыніца: habr.com