США Спецслужби попередили, що іранські державні хакери активно використовують програму обміну повідомленнями Telegram для проникнення та викрадення даних у дисидентів, журналістів і опозиційних груп у всьому світі. ФБР опублікувало публічне попередження в п’ятницю, в якому детально описано, як ці зловмисники використовують Telegram для розповсюдження шкідливих програм, отримання віддаленого доступу до пристроїв жертв і витоку конфіденційної інформації.
Як відбуваються атаки
Операція розгортається в два ключових етапи. Хакери спочатку видають себе за довірених контактів або технічну підтримку, щоб обманом змусити цілі завантажити шкідливі файли, замасковані під законні програми (наприклад, Telegram або сам WhatsApp). Після встановлення це зловмисне програмне забезпечення підключає комп’ютер жертви до ботів на базі Telegram, дозволяючи зловмисникам дистанційно керувати пристроєм.
Це дає хакерам доступ до крадіжки файлів, створення скріншотів і навіть запису приватних розмов, наприклад дзвінків у Zoom.
Зловмисники використовують інфраструктуру Telegram, оскільки вона приховує зловмисну активність у звичайному мережевому трафіку, що ускладнює виявлення інструментами кібербезпеки. Ця тактика підкреслює зростаючу тенденцію до того, що кібератаки впроваджують операції в широко використовувані платформи, щоб уникнути контролю.
Державна підтримка діяльності
ФБР приписує напади Міністерству розвідки та безпеки Ірану (MOIS), розглядаючи їх як частину більш широких зусиль, спрямованих на просування геополітичних інтересів режиму. Пов’язане з Іраном хакерське угруповання Handala взяло на себе відповідальність за нещодавні резонансні атаки, включно з нищівним проникненням у компанію Stryker, що займається медичними технологіями.
Stryker підтвердив у заяві до Комісії з цінних паперів і бірж (SEC), що все ще оговтується від злому, який знищив дані на десятках тисяч пристроїв співробітників. Міністерство юстиції США звинуватило Handala в тому, що вона діяла як прихована організація для MOIS, що призвело до конфіскації веб-сайтів, пов’язаних з Handala та іншою іранською групою, Homeland Justice. ФБР каже, що обидва контролюються одними і тими ж державними акторами.
Відповідь у Telegram
Представник Telegram Ремі Вон заявив, що платформа активно видаляє облікові записи, пов’язані з розповсюдженням шкідливого програмного забезпечення. Однак продовження використання послуги цими зловмисниками демонструє проблеми із застосуванням правил у такому масштабі.
Цей інцидент підкреслює мінливий характер спонсорованої державою кібервійни, де такі, на перший погляд, нешкідливі платформи, як Telegram, використовуються для шпигунства та дестабілізації. Попередження ФБР служить нагадуванням про те, що користувачі повинні залишатися пильними щодо тактики соціальної інженерії та несанкціонованого завантаження програмного забезпечення.
