Разведывательные службы США предупредили, что иранские государственные хакеры активно используют мессенджер Telegram для проникновения и кражи данных у диссидентов, журналистов и оппозиционных групп по всему миру. ФБР опубликовало публичное предупреждение в пятницу, в котором подробно описало, как эти злоумышленники используют Telegram для распространения вредоносного ПО, получения удаленного доступа к устройствам жертв и вывода конфиденциальной информации.
Как Происходят Атаки
Операция разворачивается в два ключевых этапа. Сначала хакеры выдают себя за доверенных контактов или службу технической поддержки, чтобы обманом заставить цели загрузить вредоносные файлы, замаскированные под легитимные приложения (например, сам Telegram или WhatsApp). После установки это вредоносное ПО подключает компьютер жертвы к ботам на базе Telegram, позволяя злоумышленникам удаленно управлять устройством.
Это дает хакерам доступ для кражи файлов, захвата скриншотов и даже записи частных разговоров, например, звонков в Zoom.
Злоумышленники используют инфраструктуру Telegram, потому что она скрывает вредоносную активность в обычном сетевом трафике, что затрудняет ее обнаружение средствами кибербезопасности. Эта тактика подчеркивает растущую тенденцию, когда киберзлоумышленники внедряют операции в широко используемые платформы, чтобы избежать проверки.
Деятельность, Поддерживаемая Государством
ФБР приписывает эти атаки иранскому Министерству разведки и безопасности (MOIS), рассматривая их как часть более широких усилий по продвижению геополитических интересов режима. Связанная с Ираном хактивистская группа «Handala» взяла на себя ответственность за недавние громкие атаки, включая разрушительное проникновение в медицинскую технологическую фирму Stryker.
Stryker подтвердила в заявлении для Комиссии по ценным бумагам и биржам (SEC), что все еще восстанавливается после взлома, в результате которого были уничтожены данные десятков тысяч устройств сотрудников. Министерство юстиции США обвинило Handala в том, что она действует как подставная организация для MOIS, что привело к изъятию веб-сайтов, связанных с Handala, и другой иранской группировки, «Homeland Justice». ФБР утверждает, что обе находятся под контролем одних и тех же государственных акторов.
Ответ Telegram
Представитель Telegram, Реми Вон, заявил, что платформа активно удаляет учетные записи, связанные с распространением вредоносного ПО. Однако продолжающееся использование сервиса этими злоумышленниками демонстрирует проблемы с обеспечением соблюдения правил в таких масштабах.
Этот инцидент подчеркивает меняющийся характер кибервойны, спонсируемой государством, когда, казалось бы, безобидные платформы, такие как Telegram, используются в качестве оружия для проведения шпионажа и дестабилизации. Предупреждение ФБР служит напоминанием о том, что пользователи должны сохранять бдительность в отношении тактики социальной инженерии и несанкционированных загрузок программного обеспечения.
