Group-IB рассказала о способе перехвата переписки в Telegram

Специалисты Group-IB сообщили о ряде взломов персональных аккаунтов пользователей мессенджера Telegram с целью получения нелегального доступа к переписке. Кибератаки были реализованы на устройствах iOS и Android, принадлежавших нескольким российским предпринимателям: 3 декабря пострадавших от кибератаки было 10 человек, к вечеру 4 декабря их число выросло до 13.

По данным Group-IB, на устройствах всех пострадавших единственным фактором авторизации были sms. Пользователи получали сообщение с кодом подтверждения от официального сервисного канала Telegram. Одновременно жертвы получали sms с кодом активации. Затем в сервисном канале появлялось уведомление о входе в аккаунт с нового устройства, при этом IP-адреса атакующих в большинстве случаев находились в Самаре.

Group-IB полагает, что злоумышленники получили возможность просмотра и копирования кодов активации из sms-сообщений, которые отправляет Telegram при активации на новом устройстве. Технически кибератака могла быть проведена с помощью уязвимости в протоколе SS7, т. е. сигнального трафика, которым обмениваются сети, например для поиска вызываемого абонента. Однако атаки на SS7 встречаются редко. «Реализовать такую атаку гораздо сложнее, это требует определенной квалификации в области сетей передачи данных и их протоколов», – объясняет антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев.

Перехватить sms можно несколькими способами: на стороне оператора сотовой связи с участием его сотрудников, с помощью вредоносных программ на самом устройстве и с помощью так называемой фейковой базовой станции, которая перехватывает сигнал со смартфона и становится посредником между ним и мобильным оператором. «Также не стоит забывать, что к sms по закону Яровой и закону о СОРМ могут иметь доступ спецслужбы», – напоминает эксперт по кибербезопасности Алексей Лукацкий.

Реализовать такую атаку напрямую, через сети российских операторов, было бы трудно, полагает представитель одного из них. «Мессенджеры и социальные сети при регистрации или переустановке приложения отправляют абоненту sms с одноразовыми кодами. Чтобы такая sms дошла до абонента, мессенджер должен заключить договор с sms-агрегатором, который гарантирует доставку. Он может находиться в Европе и не иметь прямого договора с российским оператором мобильной связи», – объясняет он. Сами агрегаторы не являются операторами связи, а их оборудование не подлежит сертификации. Агрегатор заключает договор с российской компанией, осуществляющей транзит sms через свои частоты. Такая цепочка может состоять из 2–3 посредников (иногда доходить до 8–10), на стороне которых, вероятнее всего, и произошла утечка.

Пострадавшие, по данным Group-IB, являются клиентами разных операторов сотовой связи. Представители МТС и Tele2 отказались от комментариев. Представитель «Мегафона» исключает возможность доступа третьих лиц к инфраструктуре, через которую проходят sms его абонентов. Представитель «Вымпелкома» (бренд «Билайн») заявил, что подобные жалобы от абонентов не поступали. Group-IB также не выходила на компанию с официальной информацией и номерами, по которым они зафиксировали подобные случаи, добавил он.

Перехват sms-трафика для взлома Telegram-аккаунтов не новый способ. В апреле 2016 г. были взломаны аккаунты сотрудника отдела расследований Фонда борьбы с коррупцией (ФБК) Георгия Албурова, директора НКО «Образ будущего» Олега Козловского и пресс-секретаря руководителя ФБК Алексея Навального Киры Ярмыш. Тогда, по словам пострадавших, неизвестные получили доступ к их аккаунтам, хотя никакого кода авторизации им не приходило, а IT-специалист Владислав Задольников, сотрудничавший с ФБК, утверждал, что взлом происходил через перехваченные sms. Все пострадавшие были абонентами МТС. Сотрудники экспертного управления оператора тогда заявили, что у этих пользователей была временно отключена услуга приема и передачи sms. 

«Кража одноразовых кодов из sms – это хорошо известная практика, она существует не первый год и используется, например, банковскими троянами, – объясняет Лукацкий. – То, что их стали красть для получения доступа к мессенджеру, тоже ожидаемо».

«Telegram стабильно входит в список приложений, на которые нацелены киберпреступники в различных шпионских кампаниях, – рассуждает Чебышев. – Такая атака может позволить злоумышленникам получить доступ к переписке конкретных людей».

Group-IB считает авторизацию через sms неэффективным способом защиты от кибератак: так злоумышленники могут получить доступ и к другим мессенджерам, социальным сетям, электронной почте и даже приложениям мобильного банкинга. Специалисты компании рекомендуют использовать двухфакторную верификацию.

Пользователи обычно ее выключают, говорит человек, близкий к Telegram. «Ее могут включить те, кому есть что скрывать, но ни один мессенджер не сделает ее обязательной, – объясняет он. – Любое дополнительное действие при входе в приложение остановит рост числа пользователей». Запрос, отправленный в Telegram, остался без ответа.