💳 Trustee Plus — твоя персональна картка європейського банку: 3 хвилини і 10 євро 👉

«Ми б віддали фактично доступи до систем ситуаційної обізнаності». Фахівці розповідають про те, хто, як та навіщо хакери намагались отримати доступ до телефонів військових

Днями «Держспецзвʼязку» повідомило, що телефони військовослужбовців зазнали хакерської атаки через месенджер Signal. За даними спецслужб, вірогідність реалізації кіберзагрози вдалося звести до мінімуму. 

Проте, нам стало цікаво, як така атака взагалі могла спрацювати, як хакери обирали телефони саме військових та які наслідки могло нести це злочинне втручання. Для розбору цієї ситуації dev.ua, звернувся з питаннями до знавців справи: білого хакера і засновника проєкту HackYourMom Микити Книша та експерта з питань телекомунікацій та звʼязку Олександра Глущенко. Ось, що ми дізнались.

Оставить комментарий
«Ми б віддали фактично доступи до систем ситуаційної обізнаності». Фахівці розповідають про те, хто, як та навіщо хакери намагались отримати доступ до телефонів військових

Днями «Держспецзвʼязку» повідомило, що телефони військовослужбовців зазнали хакерської атаки через месенджер Signal. За даними спецслужб, вірогідність реалізації кіберзагрози вдалося звести до мінімуму. 

Проте, нам стало цікаво, як така атака взагалі могла спрацювати, як хакери обирали телефони саме військових та які наслідки могло нести це злочинне втручання. Для розбору цієї ситуації dev.ua, звернувся з питаннями до знавців справи: білого хакера і засновника проєкту HackYourMom Микити Книша та експерта з питань телекомунікацій та звʼязку Олександра Глущенко. Ось, що ми дізнались.

Про що мова

У повідомленні Держспецзв’язку йдеться про те, що хакери розповсюдили серед військовослужбовців через месенджер Signal повідомлення з посиланнями для завантаження застосунків начебто військових систем GRISELDA й «Очі». Ось, що там було насправді:

  • Після завантаження системи обробки інформації з використанням ШІ GRISELDA за посиланням відкривався сайт, що імітував офіційний вебсайт проєкту. На сайті пропонували начебто завантажити мобільну версію GRISELDA, але натомість встановлювалась шкідлива програма (бекдор) HYDRA.
  • Пропонуючи завантажити систему стеження «Очі», хакери додали файл з модифікованою версією програми. На додачу до штатного функціоналу вона містила сторонній код, за допомогою якого зловмисники могли викрасти облікові дані користувачів та ідентифікувати GPS-координати пристрою.

Як діяли хакери

Хакери, як правило, виступають командами, де кожен юніт або підрозділ виповнює певний перелік робіт. Про це говорить Олександр Глущенко. «Немає універсальних бійців, які ідеально можуть все. Найчастіше ті, хто формують, хакерські підрозділи або об'єднання, чітко розмежовують людей, кожен з них відповідає свій фронт», — розповідає експерт. 

За його словами, в більшості випадків базового проникнення, коли хакери намагаються отримати доступ до даних користувача, використовується соціальна інженерія. 

«Простіше всього доступи отримують через людей», — говорить Олександр.

Як він пояснює, наприклад, колеги з інтересів або будь-яка знайома чи просто цікава людина, закидає посилання або файл, щоб відкриваючи його, користувач сам запускає певні процеси на своєму пристрої. 

Про механіку хакерської атаки

Експерти називають Signal одним з найбільш сек’юрним месенджером з широко доступних. Його досить часто використовують військовослужбовці, ймовірно, саме тому ця атака була організована через цей сервіс. 

Микита Книш говорить, що схожі атаки, які класифікуються як Supply Chain Attack або атака на ланцюг постачання, дуже популярні у світі кібербезпеки. Він згадує дуже схожий тип атаки, який вже відбувався на українських військових. «Тоді намагалися підмінити програмне забезпечення для артилеристів, що звалося, якщо я не помиляюся, „Кропива“. Сенсом цієї атаки було, щоб артилеристи встановили собі мобільний додаток і віддали фактично свою геолокацію», — розповідає «білий хакер».

Книш говорить, що того разу якісно спрацювали фахівці з CERT-UA, виявили розсилку. У випадку з розсилкою через Signal, росіяни так само намагалися виконати Supply Chain Attack, тільки цього разу намагалися підмінити інші додатки.

Хто атакував

Важливо зрозуміти, хто стоїть за хакерською атакою на телефони українських військовослужбовців. На думку Микити Книша, тут «стирчать вуха» російського ГРУ.

«Бо минулого разу, коли вони намагалися підмінити додаток „Крапива“, це були саме ГРУшники. І взагалі, такий тип атак, як Supply Chain, більш властивий саме хакерам російських спецслужб, зокрема, обʼєднанням EPT2728, Fancy Beer та Cozy Beer», — вважає «білий хакер».

Що хотіли хакери

У «Держспецзвʼязку» вважають, що хакери хотіли викрасти облікові дані військовослужбовців для доступу до спеціальних військових систем, а також встановлення та передача GPS-координат пристрою. Цієї позиції дотримується і Микита Книш. «Сенс, я думаю, зрозумілий, він майже однаковий, це збір інформації про людей, які використовують подібні системи, збір їх координат з метою подальшого нанесення ураження, як у випадку артилерії, так і у сучасному випадку спроби підміни додатків GRISELDA», — акцентує він.

На думку Микити Книша, атаки могли бути використані для того, щоб отримувати так звані креденшали або, простою мовою, логіни та паролі військовослужбовців до систем ситуаційної та оперативної обізнаності на полі бою.

«Окрім того, самі додатки могли нести в собі додаткові шкідливі функції та викачувати інформацію з телефонів жертв тощо», — говорить «білий хакер».

Більш детальний аналіз самого програмного забезпечення є на сайті CERT-UA, що, на думку Микити Книша, дуже логічно. «Ми з вами ж розуміємо, що якщо такий тип атак було використано проти українців, то хакери зараз будуть пробувати підміняти й натівські додатки», — пояснює він.

Як хакери можуть ідентифікувати телефон

Умовно, ідентифікувати телефони користувачів, за версією Олександра Глущенко, росіяни можуть через, наприклад, безпілотники, які мають на борту базову станцію мобільного звʼязку. До такого безпілотника можуть підключатись пристрої, а він намагається з цими пристроями обмінюватись інформацією.

Ворожа базова станція намагається ідентифікувати пристрої, отримати номер телефона, визначити оператора. І отримуючи там доступ до певної інформації, далі за ланцюжком цей номер можуть «пробити» через певні бази даних, які злиті в мережу.

Далі до справи долучають дані з додатків, на кшталт GetContact, які отримують доступ до телефонної книжки користувачів. Номер пробивається, умовно, через певні чат-боти, які одразу показують всі записи. І певний номер ідентифікується за патернами, за якими він підписаний у різних користувачів.

«Якщо за даними, наприклад, GetContact, Петро підписаний як військо або „Петро майор“, або „Петро капітан“, або „Петро армія“, то найімовірніше, що це солдат», — пояснює Олександр Глущенко. 

За словами експерта, в цьому високотехнологічному світі всі дуже сильно хочуть отримати доступ до контактів, бо це перший крок до синхронізування.

«І на превеликий жаль, у росіян є доступ до багатьох українських баз», — акцентує Олександр Глущенко.

Що було б якщо…

Одразу виникає питання, що було б, якби кіберворогам вдалась атака?

Олександр Глущенко підкреслює, що для хакерів доступ до інформації — це вже цікаво. «Як правило, ті, хто сидять в системі, ніяк себе не проявляють і просто викачують дані», — говорить експерт.

Обидва експерти в один голос кажуть, якщо атака завершилась успішно, нам було б погано. 

«Ми б віддали фактично доступи до систем ситуаційної обізнаності, до системи „Очі“, яка б, на мою особисту думку, нашкодила ситуації на лінії фронту», — пояснює Микита Книш.

Він вважає, що згодом українці могли б виявити злочинне ПЗ, бо в українських додатках використовуються певні програмно-технічні засоби для виявлення ворожої активності, включено, але не обмежуючись, з логуванням сесій, тобто записом кожної сесії та двохфакторною авторизацією.

«Деталі захисту цих додатків, розкривати ми не будемо, але, думаю, очевидно, що форми та засоби виявлення підозрілої активності, окрім тих двох, що я назвав, в тих додатках присутні. Це дуже добре, що ми встигаємо знаходити такі атаки, але я думаю, що відсоток знайдених атак, він не 100%, бо ця атака була знайдена завдяки тому, що її дуже важко було підготувати, і можна було знайти той фішинговий додаток, яким намагалися видати за GRISELDA та „Очі“», — пояснює «білий хакер».

Як убезпечити військових від хакерських атак

Будь-який звичайний смартфон — це в принципі пристрій, який несе в собі певні загрози, як говорить Олександр Глущенко. За його словами, всі військовослужбовці повинні використовувати лише спеціальний звʼязок, який контролюють військові, без сторонніх додатків та засобів зв’язку від третіх осіб.

У звичайному житті, за словами експерта, військовим важливо використовувати окремий телефон з мінімальною кількістю додатків, без телефонної книжки. На цьому пристрої повинні бути лише месенджери, через які користувач не залишає номер телефона для ідентифікації або в якому взагалі нема SIM-картки. Крім того, треба мати телефон, з якого можна вимкнути батарею.

Також зараз для будь-якої людини, зокрема, і цивільним, елементарна техніка інформаційної кібербезпеки повинна стати обовʼязковою, вважає експерт. А, також думати про те, як вони підписують в телефонній книжці не лише військових, а й інших людей.

«Насправді, якщо нам треба зібрати базу даних, найоптимальніший варіант — це випускати отаку х**нь, типу GetContact, і роздати не дуже розумним людям», — говорить Олександр.

Замість епілогу

Микита Книш наголошує, що ми всі маємо зрозуміти, що ті атаки будуть продовжуватися, і вони будуть маскуватися не тільки під військове програмне забезпечення, а під будь-яке, ховаючи в ньому свою, так звану, «полезную нагрузку», тобто віруси.

«Росіяни будуть пробувати атакувати українських військових, змушуючи їх встановити ті чи інші зловмисні додатки на телефоні. Тому дуже важливо дотримуватись цифрової гігієни, не тицяти каку та читайте інструкції щодо персональної безпеки з hackyourmom. Бережіть себе», — додає на завершення розмови «білий хакер».

Читайте головні IT-новини країни в нашому Telegram
Читайте головні IT-новини країни в нашому Telegram
По темi
Читайте головні IT-новини країни в нашому Telegram
Хакери намагаються отримати доступ до військових систем GRISELDA й «Очі» через смартфони бійців ЗСУ
Хакери намагаються отримати доступ до військових систем GRISELDA й «Очі» через смартфони бійців ЗСУ
По темi
Хакери намагаються отримати доступ до військових систем GRISELDA й «Очі» через смартфони бійців ЗСУ
Генштаб: росіяни намагаються отримати дані українських військових нібито через вимогу розробників ПЗ «Кропива»
Генштаб: росіяни намагаються отримати дані українських військових нібито через вимогу розробників ПЗ «Кропива»
По темi
Генштаб: росіяни намагаються отримати дані українських військових нібито через вимогу розробників ПЗ «Кропива»
Читайте также
«Россияне всегда хотят кого-то трахнуть». Никита Кныш рассказал FT, как украинские хакеры выдавали себя за девушек, взламывали камеры видеонаблюдения и россайты ради победы
«Россияне всегда хотят кого-то трахнуть». Никита Кныш рассказал FT, как украинские хакеры выдавали себя за девушек, взламывали камеры видеонаблюдения и россайты ради победы
«Россияне всегда хотят кого-то трахнуть». Никита Кныш рассказал FT, как украинские хакеры выдавали себя за девушек, взламывали камеры видеонаблюдения и россайты ради победы
Издание Financial Times опубликовало статью о работе украинских хакеров в войне против России, основанную на разговоре с украинским белым хакером Никитой Кнышем. Он, как и сотни других хакеров, помогает бороться с русскими захватчиками в киберпространстве. Приводим адаптированный перевод материала.
Разработчик представил хакерский кабель O.MG Elite, который сможет взломать любую ОС. Планирует продавать всем желающим
Разработчик представил хакерский кабель O.MG Elite, который сможет взломать любую ОС. Планирует продавать всем желающим
Разработчик представил хакерский кабель O.MG Elite, который сможет взломать любую ОС. Планирует продавать всем желающим
Пишут, что Signal взломали. На самом деле – нет. Как защитить данные в мессенджере – советы эксперта по кибербезопасности
Пишут, что Signal взломали. На самом деле – нет. Как защитить данные в мессенджере – советы эксперта по кибербезопасности
Пишут, что Signal взломали. На самом деле – нет. Как защитить данные в мессенджере – советы эксперта по кибербезопасности
Пророссийские хакеры Killnet объявили «войну» 10 государствам, поддерживающим Украину. Что об этом пишет Wired
Пророссийские хакеры Killnet объявили «войну» 10 государствам, поддерживающим Украину. Что об этом пишет Wired
Пророссийские хакеры Killnet объявили «войну» 10 государствам, поддерживающим Украину. Что об этом пишет Wired

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментариев пока нет.