2019. gada beigās vairāki Krievijas uzņēmēji sazinājās ar Group-IB kibernoziegumu izmeklēšanas nodaļu, kuri saskārās ar problēmu, ka nezināmas personas nesankcionēti piekļūst viņu sarakstei Telegram Messenger. Incidenti notika iOS un Android ierīcēs neatkarīgi no tā, kura federālā mobilo sakaru operatora klients bija cietušais.
Uzbrukums sākās ar to, ka lietotājs Telegram Messenger saņēma ziņojumu no Telegram servisa kanāla (tas ir oficiālais kurjera kanāls ar zilu verifikācijas čeku) ar apstiprinājuma kodu, kuru lietotājs nav pieprasījis. Pēc tam uz cietušā viedtālruni tika nosūtīta SMS ar aktivizācijas kodu - un gandrīz uzreiz pakalpojuma Telegram kanālā tika saņemts paziņojums, ka konts ir pieteicies no jaunas ierīces.
Visos gadījumos, par kuriem grupai IB ir zināms, uzbrucēji pieteicās kāda cita kontā, izmantojot mobilo internetu (iespējams, izmantojot vienreizējās SIM kartes), un vairumā gadījumu uzbrucēja IP adrese bija Samarā.
Piekļuve pēc pieprasījuma
Grupas-IB Datoru kriminālistikas laboratorijas pētījums, kurā tika pārsūtītas upuru elektroniskās ierīces, parādīja, ka iekārta nav inficēta ar spiegprogrammatūru vai bankas Trojas zirgu, konti nav uzlauzti un SIM karte nav nomainīta. Visos gadījumos uzbrucēji piekļuvuši upura kurjeram, izmantojot SMS kodus, kas saņemti, ieejot kontā no jaunas ierīces.
Šī procedūra ir šāda: aktivizējot kurjeru jaunā ierīcē, Telegram pa servisa kanālu nosūta kodu visām lietotāja ierīcēm, un pēc tam (pēc pieprasījuma) uz tālruni tiek nosūtīta SMS ziņa. To zinot, uzbrucēji paši ierosina pieprasījumu, lai kurjers nosūtītu SMS ar aktivizācijas kodu, pārtvertu šo SMS un izmantotu saņemto kodu, lai veiksmīgi pieteiktos ziņnesim.
Tādējādi uzbrucēji iegūst nelegālu piekļuvi visām pašreizējām tērzēšanas sarunām, izņemot slepenās, kā arī korespondences vēsturei šajās tērzēšanas sarunās, tostarp failiem un fotoattēliem, kas viņiem tika nosūtīti. To atklājis, likumīgs Telegram lietotājs var piespiedu kārtā pārtraukt uzbrucēja sesiju. Pateicoties ieviestajam aizsardzības mehānismam, nevar notikt pretējais — uzbrucējs nevar pārtraukt reāla lietotāja vecākas sesijas 24 stundu laikā. Tāpēc ir svarīgi laikus atklāt ārēju sesiju un to pārtraukt, lai nezaudētu piekļuvi savam kontam. Grupas-IB speciālisti nosūtīja paziņojumu Telegram komandai par situācijas izmeklēšanu.
Incidentu izpēte turpinās, un šobrīd nav precīzi noskaidrots, kāda shēma izmantota SMS faktora apiešanai. Dažādos laikos pētnieki ir snieguši piemērus par SMS pārtveršanu, izmantojot uzbrukumus mobilajos tīklos izmantotajiem protokoliem SS7 vai Diameter. Teorētiski šādus uzbrukumus var veikt, nelikumīgi izmantojot īpašus tehniskos līdzekļus vai iekšējo informāciju no mobilo sakaru operatoriem. Jo īpaši hakeru forumos vietnē Darknet ir jauni sludinājumi ar piedāvājumiem uzlauzt dažādus kurjerus, tostarp Telegram.
"Eksperti dažādās valstīs, tostarp Krievijā, vairākkārt ir paziņojuši, ka sociālos tīklus, mobilo banku un tūlītējos kurjerus var uzlauzt, izmantojot SS7 protokola ievainojamību, taču tie bija atsevišķi mērķtiecīgu uzbrukumu vai eksperimentālu pētījumu gadījumi," komentē Sergejs Lupaņins, vadītājs. Grupas-IB kibernoziegumu izmeklēšanas nodaļas darbinieks: “Jaunu incidentu sērijā, no kuriem jau ir vairāk nekā 10, uzbrucēju vēlme ieviest šo naudas pelnīšanas metodi ir acīmredzama. Lai tas nenotiktu, ir nepieciešams paaugstināt savu digitālās higiēnas līmeni: kur vien iespējams, izmantojiet vismaz divu faktoru autentifikāciju un īsziņām pievienojiet obligātu otro faktoru, kas funkcionāli ir iekļauts tajā pašā Telegram. ”
Kā sevi pasargāt?
1. Telegram jau ir ieviesis visas nepieciešamās kiberdrošības iespējas, kas samazinās uzbrucēju pūles līdz nieka.
2. iOS un Android ierīcēs, kas paredzētas Telegram, jums ir jāatver Telegram iestatījumi, jāatlasa cilne “Privātums” un jāpiešķir “Mākoņa parole Divpakāpju verifikācija” vai “Divpakāpju verifikācija”. Detalizēts apraksts par to, kā iespējot šo opciju, ir sniegts instrukcijās Messenger oficiālajā vietnē: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Ir svarīgi neiestādīt e-pasta adresi šīs paroles atkopšanai, jo parasti e-pasta paroles atkopšana notiek arī ar SMS palīdzību. Tādā pašā veidā jūs varat palielināt sava WhatsApp konta drošību.
Avots: www.habr.com