2019. aasta lõpus võtsid Group-IB küberkuritegevuse uurimise osakonnaga ühendust mitmed Venemaa ettevõtjad, kes seisid silmitsi probleemiga, et tundmatud isikud pääsesid volitamata ligi nende kirjavahetusele Telegrami messengeris. Juhtumid leidsid aset iOS- ja Android-seadmetes, olenemata sellest, millise föderaalse mobiilsideoperaatori klient oli ohver.
Rünnak sai alguse sellest, et kasutaja sai Telegrami messengeris Telegrami teenusekanalilt (see on sinise kinnituskontrolliga sõnumitooja ametlik kanal) kinnituskoodiga, mida kasutaja ei küsinud. Pärast seda saadeti ohvri nutitelefoni aktiveerimiskoodiga SMS - ja peaaegu kohe saadeti Telegrami teenusekanalisse teade, et kontole on sisse logitud uuest seadmest.
Kõigil Group-IB-le teadaolevatel juhtudel logisid ründajad mobiilse Interneti kaudu sisse kellegi teise kontole (tõenäoliselt kasutati ühekordseid SIM-kaarte) ja ründajate IP-aadress oli enamikul juhtudel Samaras.
Juurdepääs nõudmisel
Group-IB Computer Forensics Laboratory uuring, kuhu viidi üle ohvrite elektroonikaseadmed, näitas, et seadmed ei olnud nakatunud nuhkvara ega pangatroojalastega, kontosid ei häkitud ja SIM-kaarti ei vahetatud. Kõikidel juhtudel said ründajad ligipääsu ohvri sõnumitoojale uuest seadmest kontole sisselogimisel saadud SMS-koodide abil.
See toiming on järgmine: Messengeri aktiveerimisel uues seadmes saadab Telegram teeninduskanali kaudu koodi kõikidesse kasutajaseadmetesse ja seejärel (soovi korral) saadetakse telefonile SMS. Seda teades algatavad ründajad ise päringu, et messenger saadaks aktiveerimiskoodiga SMS-i, peataks selle SMS-i pealt ja kasutaks saadud koodi edukalt Messengeri sisselogimiseks.
Seega saavad ründajad ebaseadusliku juurdepääsu kõigile praegustele vestlustele, välja arvatud salajased, samuti nende vestluste kirjavahetuse ajaloole, sealhulgas neile saadetud failidele ja fotodele. Pärast selle avastamist saab seaduslik Telegrami kasutaja ründaja seansi jõuga lõpetada. Tänu rakendatud kaitsemehhanismile ei saa juhtuda vastupidist – ründaja ei saa 24 tunni jooksul lõpetada reaalse kasutaja vanemaid seansse. Seetõttu on oluline välisseanss õigeaegselt tuvastada ja see lõpetada, et mitte kaotada juurdepääsu oma kontole. Grupi-IB spetsialistid saatsid Telegrami meeskonnale teate olukorra uurimise kohta.
Juhtumite uurimine jätkub ning hetkel pole täpselt kindlaks tehtud, millise skeemi abil SMS-faktorist mööda hiiliti. Erinevatel aegadel on teadlased toonud näiteid SMS-ide pealtkuulamisest, kasutades rünnakuid mobiilsidevõrkudes kasutatavate protokollide SS7 või Diameter vastu. Teoreetiliselt saab selliseid rünnakuid sooritada spetsiaalsete tehniliste vahendite või mobiilsideoperaatorite siseteabe ebaseadusliku kasutamisega. Eelkõige on Darkneti häkkerite foorumites värskeid reklaame, mis pakuvad pakkumisi mitmesuguste sõnumitoojate, sealhulgas Telegrami häkkimiseks.
"Erinevate riikide, sealhulgas Venemaa eksperdid on korduvalt väitnud, et sotsiaalvõrgustikesse, mobiilipankadesse ja kiirsuhtlusprogrammidesse saab häkkida protokolli SS7 haavatavust, kuid need olid üksikud sihipäraste rünnakute või eksperimentaalsete uuringute juhtumid," kommenteeris juht Sergei Lupanin. Group-IB küberkuritegevuse uurimise osakonnast: "Uute intsidentide seerias, mida on juba üle 10, on ründajate soov see rahateenimise meetod voogu kasutada. Et seda ei juhtuks, on vaja enda digihügieeni taset tõsta: kasutada võimalusel vähemalt kahefaktorilist autentimist ning lisada SMS-ile kohustuslik teine tegur, mis funktsionaalselt samas Telegramis sisaldub. ”
Kuidas ennast kaitsta?
1. Telegram on juba rakendanud kõik vajalikud küberturvalisuse võimalused, mis vähendavad ründajate pingutused olematuks.
2. Telegrami iOS- ja Android-seadmetes peate avama Telegrami seaded, valima vahekaardi „Privaatsus” ja määrama „PilveparoolKaheastmeline kinnitamine” või „Kaheastmeline kinnitamine”. Selle valiku lubamise üksikasjalik kirjeldus on toodud Messengeri ametliku veebisaidi juhistes: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Selle parooli taastamiseks on oluline mitte määrata e-posti aadressi, kuna reeglina toimub meili parooli taastamine ka SMS-i teel. Samamoodi saate suurendada oma WhatsAppi konto turvalisust.
Allikas: www.habr.com