USA agencje wywiadowcze ostrzegły, że irańscy hakerzy państwowi aktywnie wykorzystują aplikację do przesyłania wiadomości Telegram do infiltrowania i kradzieży danych od dysydentów, dziennikarzy i grup opozycyjnych na całym świecie. FBI wydało w piątek publiczne ostrzeżenie, w którym szczegółowo opisał, w jaki sposób napastnicy wykorzystują Telegram do dystrybucji złośliwego oprogramowania, uzyskiwania zdalnego dostępu do urządzeń ofiar i wycieku poufnych informacji.
Jak dochodzi do ataków
Operacja przebiega w dwóch kluczowych etapach. Hakerzy najpierw podają się za zaufane kontakty lub pomoc techniczną, aby nakłonić cele do pobrania złośliwych plików udających legalne aplikacje (takie jak Telegram lub sam WhatsApp). Po zainstalowaniu to szkodliwe oprogramowanie łączy komputer ofiary z botami opartymi na Telegramie, umożliwiając atakującym zdalne kontrolowanie urządzenia.
Dzięki temu hakerzy mogą kraść pliki, robić zrzuty ekranu, a nawet nagrywać prywatne rozmowy, takie jak rozmowy przez Zoom.
Atakujący wykorzystują infrastrukturę Telegramu, ponieważ ukrywa ona złośliwą aktywność w normalnym ruchu sieciowym, co utrudnia wykrycie narzędzi cyberbezpieczeństwa. Taktyka ta podkreśla rosnącą tendencję polegającą na tym, że cyberprzestępcy wprowadzają operacje do powszechnie używanych platform, aby uniknąć kontroli.
Działania wspierane przez państwo
FBI przypisuje ataki irańskiemu Ministerstwu Wywiadu i Bezpieczeństwa (MOIS), postrzegając je jako część szerszych wysiłków na rzecz wspierania interesów geopolitycznych reżimu. Powiązana z Iranem grupa haktywistów Handala przyznała się do niedawnych głośnych ataków, w tym niszczycielskiej infiltracji firmy Stryker zajmującej się technologią medyczną.
W zgłoszeniu złożonym do Komisji Papierów Wartościowych i Giełd (SEC) firma Stryker potwierdziła, że nadal odbudowuje siły po włamaniu, które zniszczyło dane na dziesiątkach tysięcy urządzeń pracowników. Departament Sprawiedliwości Stanów Zjednoczonych oskarżył Handalę o działanie w charakterze organizacji przykrywki dla MOIS, co doprowadziło do przejęcia stron internetowych powiązanych z Handalą i inną irańską grupą, Homeland Justice. FBI twierdzi, że oba są kontrolowane przez te same podmioty państwowe.
Odpowiedź na telegram
Rzecznik Telegramu, Remy Vaughn, powiedział, że platforma aktywnie usuwa konta powiązane z dystrybucją złośliwego oprogramowania. Jednak dalsze korzystanie z usługi przez tych atakujących pokazuje wyzwania związane z egzekwowaniem przepisów na taką skalę.
Ten incydent uwydatnia zmieniający się charakter sponsorowanej przez państwo wojny cybernetycznej, podczas której pozornie nieszkodliwe platformy, takie jak Telegram, są uzbrojone w celu prowadzenia szpiegostwa i destabilizacji. Ostrzeżenie FBI przypomina, że użytkownicy muszą zachować czujność wobec taktyk inżynierii społecznej i nieautoryzowanego pobierania oprogramowania.
