Stati Uniti Le agenzie di intelligence hanno avvertito che gli hacker del governo iraniano stanno utilizzando attivamente l’app di messaggistica Telegram per infiltrarsi e rubare dati a dissidenti, giornalisti e gruppi di opposizione in tutto il mondo. L’FBI ha emesso un avviso pubblico venerdì descrivendo in dettaglio come questi attori sfruttano Telegram per distribuire malware, ottenere accesso remoto ai dispositivi delle vittime ed esfiltrare informazioni sensibili.
Come funzionano gli attacchi
L’operazione si sviluppa in due fasi fondamentali. In primo luogo, gli hacker si presentano come contatti fidati o supporto tecnico per indurre gli obiettivi a scaricare file dannosi mascherati da applicazioni legittime (come Telegram o WhatsApp stesso). Una volta installato, questo malware collega il computer della vittima ai bot basati su Telegram, consentendo agli aggressori di controllare da remoto il dispositivo.
Ciò consente agli hacker di rubare file, acquisire screenshot e persino registrare comunicazioni private come le chiamate Zoom.
Gli aggressori sfruttano l’infrastruttura di Telegram perché oscura le attività dannose all’interno del normale traffico di rete, rendendo più difficile il rilevamento da parte degli strumenti di sicurezza informatica. Questa tattica evidenzia una tendenza crescente da parte degli attori informatici a incorporare operazioni all’interno di piattaforme comunemente utilizzate per eludere il controllo.
Attività sponsorizzata dallo Stato
L’FBI attribuisce questi attacchi al Ministero dell’Intelligence e della Sicurezza iraniano (MOIS), inquadrandoli come parte di uno sforzo più ampio per promuovere gli interessi geopolitici del regime. Un gruppo di hacktivisti filo-iraniani collegato, “Handala”, ha rivendicato la responsabilità di recenti attacchi di alto profilo, inclusa una violazione dirompente contro l’azienda di tecnologia medica Stryker.
Stryker ha confermato in un documento della SEC che si sta ancora riprendendo dall’hacking, che ha comportato la cancellazione di decine di migliaia di dispositivi dei dipendenti. Il Dipartimento di Giustizia degli Stati Uniti ha accusato Handala di operare come copertura per il MOIS, portando al sequestro di siti web collegati a Handala e ad un altro gruppo iraniano, “Homeland Justice”. L’FBI sostiene che entrambi sono controllati dagli stessi attori statali.
Risposta di Telegram
Il portavoce di Telegram, Remi Vaughn, ha dichiarato che la piattaforma rimuove attivamente gli account coinvolti nella distribuzione di malware. Tuttavia, l’uso continuato del servizio da parte di questi attori dimostra le sfide legate al controllo di tale attività su larga scala.
L’incidente sottolinea la natura in evoluzione della guerra informatica sponsorizzata dallo stato, in cui piattaforme apparentemente innocue come Telegram vengono utilizzate come armi per facilitare lo spionaggio e il disturbo. L’avvertimento dell’FBI serve a ricordare che gli utenti devono rimanere vigili contro le tattiche di ingegneria sociale e i download di software non autorizzati.
