Group-IB рассказала о способе перехвата переписки в Telegram

Злоумышленники получали доступ к сообщениям и файлам с помощью авторизации через sms
Андрей Гордеев / Ведомости
Андрей Гордеев / Ведомости

Специалисты Group-IB сообщили о ряде взломов персональных аккаунтов пользователей мессенджера Telegram с целью получения нелегального доступа к переписке. Кибератаки были реализованы на устройствах iOS и Android, принадлежавших нескольким российским предпринимателям: 3 декабря пострадавших от кибератаки было 10 человек, к вечеру 4 декабря их число выросло до 13.

По данным Group-IB, на устройствах всех пострадавших единственным фактором авторизации были sms. Пользователи получали сообщение с кодом подтверждения от официального сервисного канала Telegram. Одновременно жертвы получали sms с кодом активации. Затем в сервисном канале появлялось уведомление о входе в аккаунт с нового устройства, при этом IP-адреса атакующих в большинстве случаев находились в Самаре.

Group-IB полагает, что злоумышленники получили возможность просмотра и копирования кодов активации из sms-сообщений, которые отправляет Telegram при активации на новом устройстве. Технически кибератака могла быть проведена с помощью уязвимости в протоколе SS7, т. е. сигнального трафика, которым обмениваются сети, например для поиска вызываемого абонента. Однако атаки на SS7 встречаются редко. «Реализовать такую атаку гораздо сложнее, это требует определенной квалификации в области сетей передачи данных и их протоколов», – объясняет антивирусный эксперт «Лаборатории Касперского» Виктор Чебышев.

Перехватить sms можно несколькими способами: на стороне оператора сотовой связи с участием его сотрудников, с помощью вредоносных программ на самом устройстве и с помощью так называемой фейковой базовой станции, которая перехватывает сигнал со смартфона и становится посредником между ним и мобильным оператором. «Также не стоит забывать, что к sms по закону Яровой и закону о СОРМ могут иметь доступ спецслужбы», – напоминает эксперт по кибербезопасности Алексей Лукацкий.

300 млн

пользователей составляет ежемесячная аудитория мессенджера Telegram

Реализовать такую атаку напрямую, через сети российских операторов, было бы трудно, полагает представитель одного из них. «Мессенджеры и социальные сети при регистрации или переустановке приложения отправляют абоненту sms с одноразовыми кодами. Чтобы такая sms дошла до абонента, мессенджер должен заключить договор с sms-агрегатором, который гарантирует доставку. Он может находиться в Европе и не иметь прямого договора с российским оператором мобильной связи», – объясняет он. Сами агрегаторы не являются операторами связи, а их оборудование не подлежит сертификации. Агрегатор заключает договор с российской компанией, осуществляющей транзит sms через свои частоты. Такая цепочка может состоять из 2–3 посредников (иногда доходить до 8–10), на стороне которых, вероятнее всего, и произошла утечка.

Пострадавшие, по данным Group-IB, являются клиентами разных операторов сотовой связи. Представители МТС и Tele2 отказались от комментариев. Представитель «Мегафона» исключает возможность доступа третьих лиц к инфраструктуре, через которую проходят sms его абонентов. Представитель «Вымпелкома» (бренд «Билайн») заявил, что подобные жалобы от абонентов не поступали. Group-IB также не выходила на компанию с официальной информацией и номерами, по которым они зафиксировали подобные случаи, добавил он.

Перехват sms-трафика для взлома Telegram-аккаунтов не новый способ. В апреле 2016 г. были взломаны аккаунты сотрудника отдела расследований Фонда борьбы с коррупцией (ФБК) Георгия Албурова, директора НКО «Образ будущего» Олега Козловского и пресс-секретаря руководителя ФБК Алексея Навального Киры Ярмыш. Тогда, по словам пострадавших, неизвестные получили доступ к их аккаунтам, хотя никакого кода авторизации им не приходило, а IT-специалист Владислав Задольников, сотрудничавший с ФБК, утверждал, что взлом происходил через перехваченные sms. Все пострадавшие были абонентами МТС. Сотрудники экспертного управления оператора тогда заявили, что у этих пользователей была временно отключена услуга приема и передачи sms. 

«Кража одноразовых кодов из sms – это хорошо известная практика, она существует не первый год и используется, например, банковскими троянами, – объясняет Лукацкий. – То, что их стали красть для получения доступа к мессенджеру, тоже ожидаемо».

«Telegram стабильно входит в список приложений, на которые нацелены киберпреступники в различных шпионских кампаниях, – рассуждает Чебышев. – Такая атака может позволить злоумышленникам получить доступ к переписке конкретных людей».

Group-IB считает авторизацию через sms неэффективным способом защиты от кибератак: так злоумышленники могут получить доступ и к другим мессенджерам, социальным сетям, электронной почте и даже приложениям мобильного банкинга. Специалисты компании рекомендуют использовать двухфакторную верификацию.

Пользователи обычно ее выключают, говорит человек, близкий к Telegram. «Ее могут включить те, кому есть что скрывать, но ни один мессенджер не сделает ее обязательной, – объясняет он. – Любое дополнительное действие при входе в приложение остановит рост числа пользователей». Запрос, отправленный в Telegram, остался без ответа.