Հարձակումներ Տելեգրամի դեմ․ վերջին ամիսների դեպքերը

Cybersecurity, Hacking, phishing, Telegram

25 Օգս 2022

Տելեգրամը Հայաստանում այսօր բավականին լուրջ դիրքեր ունի ինչպես գաղտնագրվող խոսակցություններով և այդ առումով անվտանգ համարվող մեսենջեր, այնպես էլ որպես սոցիալական ցանց և տեղեկատվական հարթակ, որտեղ գործում են տասնյակ լրատվական ալիքներ և բլոգներ։

Տելեգրամը նաև հանդիսանում է քաղաքական հավաքագրման, սոցիալական ակտիվիզմի պլատֆորմ, քանի որ ունի հնարավորություն մեծաքանակ չատ֊խմբեր ձևավորելու, ինչն էլ դարձնում է այն թիրախ բազմաթիվ հաքերային հարձակումների համար։

Բերենք հարձակումների մի քանի օրինակներ, որոնք թույլ կտան տեսնել վերջին շրջանում կիրառվող հարձակումների հիմնական վեկտորները։ 

Առաջին տարբերակը ուղղված է Տելեգրամում գործող ալիքների ադմինների դեմ։ Անծանոթ ռուսալեզու օգտատիրոջ հաշվից կապվում են ադմինի հետ՝ առաջարկելով գումարի դիմաց գովազդ տեղադրել ալիքում։ Ասում են, որ հարկավոր է գովազդել տեսանյութերի խմբագրման ծրագիր, որը դեռ գոյություն չունի հեռախոսների համար, առայժմ միայն Գուգլ Քրոմի համար հավելված է։ Ինչից հետո ուղարկում են .rar արխիվային ֆայլ, առաջարկելով տեղադրել հավելվածը, թեստավորել և գրառում անել դրա մասին։ Արխիվային ֆայլի մեջ իրականում տեղադրված է .exe ֆայլ, որը խտացված վիճակում ընդամենը 115KB քաշ ունի, սակայն բացվելուց հետո 750 MB է դառնում և հանդիսանում է Տրոյան ծրագիր (չափի արհեստական ուռճացումը, հավանական է, հատուկ է արվել, որպեսզի ֆայլը գերազանցի Virustotal-ի վերբեռման լիմիտները, ինչը բարդացնում է ստուգումը)։ Հարձակման պահին միայն վեց հակավիրուսային ծրագիր էր հայտնաբերում ֆայլի վնասաբերությունը։ Տվյալ պահին դրանց թիվը հասել է տասնմեկի։ Սակայն ամեն դեպքում սա փոքր ցուցանիշ է, հաշվի առնելով որ հիմնական ամենատարածված հակավիրուսները չեն բացահայտում վիրուսը, այդ թվում՝ Windows օպերացիոն համակարգում նախընտրությամբ ներդրված Microsoft Defender-ը։ Ավելի մանրամասն Տրոյանի տվյալներին հնարավոր է ծանոթանալ այստեղ։ 

Մյուս հարձակումը շատ նուրբ է։ Մարդը ստանում է նամակ՝ իբր հենց Տելեգրամից, որտեղ նմանակված է Տելեգրամի զգուշացումը այն մասին, որ հաշիվ մուտք է գործվել այլ սարքից։ Այսինքն, մարդուն վախեցնում են, որ հաքերները կոտրել են իր օգտահաշիվը։

Armenia -- Phishing message targeting Telegram users, 16Aug2022

Միակ տարբերությունը իսկական նամակից այն է, որ առաջարկվում է այցելել ֆիշինգային կայք, որը նմանակում է Տելեգրամի իսկական կայքի հասցեն՝ telegram.vet։ Եթե օգտատերը զգոնություն չցուցաբերի, կարող է առանց դա գիտակցելու QR կոդի միջոցով կցել իր հաշիվը հաքերների սարքին։ 

Armenia -- QR code displayed after visiting the Telegram.vet phishing site, which, if scanned will authenticate the hacker's device, Yerevan, 16Aug2022

Եթե այս պահին տվյալ ֆիշինգային կայքը արդեն տասներեք անվտանգության համակարգերի կողմից է բացահայտվում որպես վնասակար, ապա հարձակման պահին միայն մեկն էր տեսնում վտանգը։ 

Տվյալ երկու հարձակումների իրականացնողներն անհայտ են, դժվար է հասկանալ, թե արդյոք հարձակումներն էին ուղղված հայաստանյան կամ հայկական թիրախների դեմ, թե կապ ունեն ավելի լայնամասշտաբ և չթիրախավորված հարձակումների հետ։ Սակայն, երրորդ հարձակումը, ամենայն հավանականությամբ, խիստ ներքին և քաղաքական բնույթ ունի։

Ներկայացնենք մանրամասն․ կիբեռանվտանգության փորձագետ Ռուբեն Մուրադյանը այս տարվա մայիսին հայտնաբերել էր երեք կոտրած Տելեգրամ հաշիվներ։

Armenia -- Screenshot from cybersecurity specialist Ruben Muradyan's Twitter about hijacked Telegram accounts, Yerevan, 03May2022

Հաշիվները, ամենայն հավանականությամբ, կոտրվել էին SMS հաղորդագրության մեջ գտնվող վերականգման կոդի միջոցով: Բոլոր երեք հաշիվներն էլ չէին միացրել երկփուլային վավերացումը։ Հիշեցնենք, որ SMS կոդերի կորզման մեթոդին մենք անդրադարձել էինք դեռ մի քանի տարի առաջ։  

Հետագայում այս տելեգրամյան կոտրված հաիվներն օգտագործվել էին Predator լրտեսական ծրագիրը տարածելու համար։ Նշենք, որ տվյալ ծրագիրը օգտագործվել է Հայաստանում ներքին քաղաքական և մեդիա թիրախների դեմ և խիստ մեծ հավանականությամբ կարող է կապված լինել տեղական հատուկ ծառայությունների հետ։