Спецпроекты

Безопасность Пользователю Стратегия безопасности Интернет Интернет-ПО Маркет

Русскоговорящие хакеры научились воровать переписку из Telegram

Вредоносная программа позволяет перехватывать активные сессии клиента Telegram на десктопе, а заодно ворует реквизиты доступа к платформе Steam.

Украсть весь кэш

Вредоносная программа атакует мессенджер Telegram. В опасности пользователи его клиентской программы для десктопа.

По сведениям экспертов по безопасности фирмы Talos, обнаруживших проблему, за две недели злоумышленники выпустили сразу две вредоносные программы, атаковавшие Telegram. Первая воровала реквизиты доступа и файлы cookie из браузера, вторая научилась воровать кэш Telegram, содержащий данные переписки, файлы ключей шифрования (а заодно и реквизиты доступа к Steam). Все эти данные вредоносная программа загружает на несколько аккаунтов сервиса pcloud.com - причём в незашифрованном виде.

Злоумышленник - а исследователи с высокой долей вероятности установили его личность - выбрали в качестве мишени именно десктоп-версию Telegram потому, что она не поддерживает функцию Secret Chats (секретные чаты) и имеет довольно слабые настройки по умолчанию. При этом вредонос не атакует никаких уязвимостей, эксплуатируются лишь архитектурные особенности.

Согласно пояснениям разработчиков Telegram, секретные чаты требуют наличия постоянного хранилища данных на устройстве; на данный момент эта функция не поддерживается на десктопной и веб-версии. На них содержание чатов подтягивается из облака и сбрасывается при отключении клиента. Секретные чаты не хранятся в облаке, поэтому они бы исчезали с каждым отключением компьютера. При этом автоматического разлогинивания в десктоп-версии Telegram не реализовано. Комбинацию этих особенностей и использует вредонос.

telegram600.jpg
Хакер по прозвищу Енот научился воровать кэш Telegram

Исследователям удалось найти видеоруководство, описывающее, как получить доступ и использовать кэш Telegram для перехвата сессий. Для этого нужно «восстановить» кэш и map-файлы, в которых хранятся ключи шифрования, в существующую установку Telegram на десктопе в то время как открыта сессия.

В конечном итоге злоумышленник может получить доступ к текущей сессии пользователя, его контактам и прошлым чатам.

«Попытки атаковать Telegram с помощью вредоносного ПО были вопросом времени, - считает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. - Любой популярный сервис рано или поздно начнет привлекать внимание киберзлоумышленников. Скорее всего, мы наблюдаем попытку создать хакерский инструмент, который затем будет продаваться всем заинтересованным лицам».

Исследователям Talos не удавалось до сих пор обнаружить инструментов для расшифровки информации из кэша, но они не исключают, что такой инструмент может или уже мог быть создан. А учитывая, что единственное, чем защищены файлы Map, это пароль пользователя, вполне применим брутфорс (взлом путем перебора).

Енот и другие против Телеги

Автор вредоносной программы, по всей виимости, русскоязычный, скрывается под никнеймами Enot, Eyenot, Racoon Hacker, Racoon Progoromist; с ним проассоциирован аккаунт на GitHub.com (Enot272). Хакер опубликовал на разных ресурсах целый ряд статей и даже видеоучебников о том, как взламывать Telegram.

Вредоносная программа старательно пытается избегать IP-адресов, связанных с анонимайзерами.

Мессенджер Telegram пользуется популярностью во всем мире, но российский Роскомнадзор старательно пытается заблокировать его для пользователей на территории России.

Основанием для этого стало решение Таганского районного суда Москвы от 16 апреля 2018 г. Причиной блокировки стал отказ Telegram исполнять требования к организаторам распространения информации в части предоставления ФСБ ключей для дешифровки сообщений пользователей. Жалобу в суд подавал сам же «Роскомнадзор».

Как выяснилось, судебное решение так и не вступило в силу, поскольку было тотчас обжаловано. Однако блокировки продолжаются в рамках «обеспечительных» мер. В конце апреля 2018 г. в ходе охоты властей с Telegram под блокировки попали IP-адреса «Яндекса», «ВКонтакте», «Одноклассников», точки обмена трафиком MSK-IX, Facebook, Twitter, Google. Накануне под блокировки начали попадать IP-адреса WhatsApp, магазина приложений Apple и других сервисов.

Роман Георгиев

Короткая ссылка