2019 yil oxirida bir nechta rossiyalik tadbirkorlar Group-IB kiberjinoyatlarni tergov qilish departamentiga murojaat qilishdi, ular Telegram messenjeridagi yozishmalariga nomaʼlum shaxslar tomonidan ruxsatsiz kirish muammosiga duch kelishdi. Hodisalar jabrlanuvchi qaysi federal uyali aloqa operatorining mijozi bo'lishidan qat'i nazar, iOS va Android qurilmalarida sodir bo'lgan.
Hujum foydalanuvchi Telegram messenjerida Telegram servis kanalidan (bu messenjerning ko‘k rangli tasdiqlash cheki bilan rasmiy kanali) foydalanuvchi so‘ramagan tasdiqlash kodi bilan xabar olishi bilan boshlandi. Shundan so'ng jabrlanuvchining smartfoniga faollashtirish kodi bilan SMS yuborildi - va deyarli darhol Telegram xizmat kanalida akkauntga yangi qurilmadan kirganligi haqida xabar keldi.
Group-IBga ma'lum bo'lgan barcha holatlarda, tajovuzkorlar mobil Internet orqali (ehtimol, bir martalik SIM-kartalardan foydalangan holda) boshqa birovning akkauntiga kirgan va tajovuzkorlarning IP manzili ko'p hollarda Samarada bo'lgan.
So'rov bo'yicha kirish
Qurbonlarning elektron qurilmalari o‘tkazilgan Group-IB kompyuter sud-tibbiyot laboratoriyasi tomonidan o‘tkazilgan tadqiqot shuni ko‘rsatdiki, uskuna josuslik dasturlari yoki bank troyanlari bilan zararlanmagan, hisoblar buzilmagan va SIM-karta almashtirilmagan. Barcha holatlarda tajovuzkorlar jabrlanuvchining messenjeriga yangi qurilmadan akkauntga kirishda olingan SMS-kodlar yordamida kirishga muvaffaq bo‘lishdi.
Bu tartib quyidagicha: messenjerni yangi qurilmada faollashtirishda Telegram xizmat ko‘rsatish kanali orqali barcha foydalanuvchi qurilmalariga kod yuboradi, so‘ngra (so‘rov bo‘yicha) telefonga SMS xabar yuboriladi. Buni bilib, tajovuzkorlarning o'zlari messenjerga faollashtirish kodi bilan SMS yuborish, ushbu SMSni ushlab qolish va messenjerga muvaffaqiyatli kirish uchun olingan koddan foydalanish uchun so'rovni boshlaydilar.
Shunday qilib, tajovuzkorlar maxfiylardan tashqari barcha joriy chatlarga, shuningdek, ushbu chatlardagi yozishmalar tarixiga, jumladan, ularga yuborilgan fayllar va fotosuratlarga noqonuniy kirish huquqiga ega bo'ladilar. Buni aniqlagan qonuniy Telegram foydalanuvchisi tajovuzkorning sessiyasini majburan tugatishi mumkin. Amalga oshirilgan himoya mexanizmi tufayli buning aksi bo'lishi mumkin emas, tajovuzkor haqiqiy foydalanuvchining eski seanslarini 24 soat ichida to'xtata olmaydi. Shuning uchun, hisobingizga kirishni yo'qotmaslik uchun tashqi seansni vaqtida aniqlash va uni tugatish muhimdir. Group-IB mutaxassislari Telegram jamoasiga vaziyatni o‘rganishlari haqida bildirishnoma yuborishdi.
Voqealarni o'rganish davom etmoqda va hozircha SMS faktorini chetlab o'tish uchun aynan qanday sxema qo'llangani aniqlanmagan. Turli vaqtlarda tadqiqotchilar mobil tarmoqlarda qo'llaniladigan SS7 yoki Diameter protokollariga hujumlar yordamida SMS ushlash misollarini keltirdilar. Nazariy jihatdan, bunday hujumlar maxsus texnik vositalardan yoki uyali aloqa operatorlarining ichki ma'lumotlaridan noqonuniy foydalanish bilan amalga oshirilishi mumkin. Xususan, Darknet’dagi xakerlik forumlarida turli messenjerlarni, shu jumladan Telegram’ni buzish takliflari bilan yangi reklamalar paydo bo‘ldi.
“Turli mamlakatlar, jumladan, Rossiyadagi ekspertlar SS7 protokolidagi zaiflikdan foydalanib, ijtimoiy tarmoqlar, mobil banking va messenjerlarni buzib kirishi mumkinligini bir necha bor taʼkidlagan, biroq bular maqsadli hujumlar yoki eksperimental tadqiqotlarning alohida holatlari”, - deydi Sergey Lupanin, rahbari. Group-IB kiberjinoyatlarni tergov qilish bo'limidan: “10 dan ortiq bo'lgan bir qator yangi hodisalarda tajovuzkorlarning pul ishlashning ushbu usulini ishga tushirish istagi yaqqol ko'rinib turibdi. Buning oldini olish uchun raqamli gigiena darajasini oshirish kerak: hech bo'lmaganda, imkon qadar ikki faktorli autentifikatsiyadan foydalaning va SMS-ga funksional ravishda bir xil Telegram tarkibiga kiritilgan majburiy ikkinchi omilni qo'shing. ”
O'zingizni qanday himoya qilish kerak?
1. Telegram kiberxavfsizlikning barcha zarur variantlarini allaqachon joriy qilgan, bu esa hujumchilarning sa'y-harakatlarini hech narsaga kamaytiradi.
2. Telegram uchun iOS va Android qurilmalarida siz Telegram sozlamalariga o‘tishingiz, “Maxfiylik” yorlig‘ini tanlashingiz va “Bulutli parolIkki bosqichli tekshirish” yoki “Ikki bosqichli tekshirish”ni belgilashingiz kerak. Ushbu parametrni qanday yoqish haqida batafsil tavsif messenjerning rasmiy veb-saytidagi ko'rsatmalarda keltirilgan: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Ushbu parolni tiklash uchun elektron pochta manzilini o'rnatmaslik muhim, chunki, qoida tariqasida, elektron pochta parolini tiklash SMS orqali ham amalga oshiriladi. Xuddi shu tarzda siz WhatsApp akkauntingiz xavfsizligini oshirishingiz mumkin.
Manba: www.habr.com