💳 Кожен. Повинен. Мати. Trustee Plus: криптогаманець і європейська платіжна картка з лімітом 50к євро 👉

Користувачам «Резерв+» почали надходити підозрілі повідомлення. Експерт із кібербезпеки пояснив, чи означає це, що застосунок «хакнули»

Днями користувачам «Резерв+» почали надходити повідомлення з офіційного телеграм-каналу застосунку, які містили пропозиції завантажити підозрілі файли. Експерт із кібербезпеки Костянтин Корсун пояснив, що це могло значити, і що, на його думку, могли хакнути: «Резерв+» чи Telegram-канал.

Оставить комментарий
Користувачам «Резерв+» почали надходити підозрілі повідомлення. Експерт із кібербезпеки пояснив, чи означає це, що застосунок «хакнули»

Днями користувачам «Резерв+» почали надходити повідомлення з офіційного телеграм-каналу застосунку, які містили пропозиції завантажити підозрілі файли. Експерт із кібербезпеки Костянтин Корсун пояснив, що це могло значити, і що, на його думку, могли хакнути: «Резерв+» чи Telegram-канал.

Про атаку

Днями користувачі «Резерв+» почали отримувати повідомлення з офіційного Telegram-каналу застосунку з проханням завантажити файл REZERVPLUS.zip, як пише Костянтин Корсун, «для коректного внесення змін до реєстру».

За його словами, усі знають, що коректність внесення змін до «Оберігу» — це давно відома проблема. «Тому pretext був підібраний психологічно грамотно: ти встановив собі „Резерв+“, але сумніваєшся „чи точно мої дані внесені в реєстр коректно?“ І ось з офіційного ТГ-бота приходить файл, який точно виправить цю проблему та розвіє сумніви», — підкреслює експерт. Ось що він розповів далі.

Що сталося насправді?

Група хакерів «угнала» ТГ-бота, якого сам «Резерв+» визначив як «офіційного». І потім розіслали усім користувачам шкідливе ПЗ (malware), яке викрадало всю інформацію (клас stealer, модель Medusa Stealer). Після викрадення зі смартфона всього, що можна — ця «какашка» самовидаляється. Водночас більшість користувачів не здогадуються, що відбувається щось погане й що вся інформація з їхнього смартфона вже викрадена. Можливо, хтось про це здогадається, лише прочитавши цей допис.

Скрін з Facebook

Ця хакерська група відома під назвою DaVinci Group («UAC-0050» за українською класифікацією) і спеціалізується на кібершпигунстві. Використовує давно відомі інструменти: LunaStealer, RemcosRAT, різні дропери, а також MedusaStealer. Останній якраз і був використаний в атаці на користувачів «Резерв+». Зазначена група належить до категорії так званих «спонсорованих державою» (state sponsored) і спеціалізується на викраденні інформації саме з українських органів влади.

На кого працює і хто їм платить?

А здогадайтеся з двох раз. У мене язик не повертається звинувачувати тих користувачів «Резерв+», які стали жертвою цієї атаки та завантажили цей файл. Оскільки вони довірилися офіційному ресурсу, тому автоматично вважають легітимним усе, щоб з нього надходить. Як свого часу сталося з «Медком» — тоді було хакнуто офіційний канал оновлення продукту.

Скрін з Facebook

Коли вчора користувачі почали масово скаржитися на підозрілий файл, команда розробників із МОУ зрозуміла, що це атака, тому швиденько видалили в себе на сторінці посилання на цей скомпрометований ТГ-канал. На цьому реакція на інцидент і обмежилася — прикрили свою власну сраку.

Скрін з Facebook

Коли почали звучати звинувачення на адресу заступниці міністра оборони, яка відповідальна за «Резерв+», то її відповідь була наступною, дослівно: «Застосунок „Резерв+“ не має ботів чи сторінок у телеграмі. Це шахрайство». Кінець цитати. Той факт, що анонс запуску «Резерву» містив посилання на офіційні канали в «телегі» ще у травні 2024 року, і на це є приблизно тисяча скриншотів і вебархівів — пох, це все брехня, «вивсьоврьоті». 

Чи можна сказати, що додаток «Резерв+» хакнули внаслідок цієї атаки?

Формально ні. Було хакнуто ТГ-канал, який команда розробників з МОУ рекламували як «офіційний». Чи було інфіковано тисячі (можливо більше) користувачів «Резерв+» внаслідок безвідповідального ставлення до архітектури додатка? Так, безперечно. І це ще ми не знаємо точну кількість уражених девайсів та кількість повторних «ланцюгових» уражень через контакти та контакти контактів.

Чи є причиною інфікування тисяч військовозобов’язаних, призовників та резервістів додаток «Резерв+»?

Так, однозначно. Він послужив «точкою входу» для зловмисників, найслабшою ланкою. Люди ще в момент релізу підписалися на «офіційний ТГ-бот», а яка його подальша доля, чи він вже не є офіційним — не знають і не можуть знати. Вони слухняно зробили все, як було сказано МОУ від початку та підписалися на ТГ-бот техпідтримки.

Чи винуваті розробники в цьому інциденті?

Категорично «так». Це вони прикрутили до суперкритичного військово-мобілізаційного додатка неконтрольованого ними Телеграм-бота. При тому, що сама платформа — Telegram- з великою ймовірністю контролюється ворогом, повністю або частково. І розробники «Резерв+» не в змозі видалити певний канал, який із якихось причин перестав бути «дружнім» — це може зробити або сам власник каналу, або адміністрація Telegram.

Чи призвів цей інцидент до катастрофічних наслідків для національної безпеки?

Не знаю. Залежить від обсягів та критичності викраденої ворогом інформації.

Чи заподіяли шкоду військовозобов’язаним громадянам?

Так, заподіяли: їхню інформацію отримав ворог і хтозна, як вона буде використана надалі.

Чи мусить хтось за це понести відповідальність?

У демократичній країні — однозначно.

Чи понесе хтось за це відповідальність в Україні часів М. Федорова? Ні в якому разі, забудьте.

Чи повториться аналогічний сценарій з іншими «офіційними ТГ-ботами чи ТГ-каналам»?

І до ворожки не ходи. Тим більше, що «це ж було вже»: офіційні ТГ-боти та ТГ-канали техпідтримки вже неодноразово зламували.

Замість висновку

До речі, нагадаю: коли хтось стверджує, що неможливо щось хакнути — це точна ознака повного профана. Будь-який фахівець із кібербезпеки твердо знає, що теоретично хакнути можна що завгодно. Питання лише в часі, ресурсах і мотивації виконавця. Але тут виникає інше, важливіше питання: а допоки в Україні будуть існувати «офіційні ТГ-канали»? Допоки офіційні органи влади будуть просувати та рекламувати відверто ворожий продукт, який вони фізично не в змозі контролювати?

Як на мене, у країні, яка веде криваву війну за виживання проти країни-розробниці телеграму, все це дуже смердить державною зрадою.UPD:

Той факт, що шкідливий файл мав розширення .ехе зовсім не виключає небезпеки для смартфонів: повідомлення приходило на смартфони, де встановлено Telegram, потім завантажується дропер, який потім підтягує стілер. Наявність на смартфоні дропера дозволяє завантажувати що завгодно на смартфон. Ну і щоб завантажити пейлоад на комп’ютер, потрібно відкрити Telegram на лаптопі/десктопі та синхронізуватися, що містить додаткові ризики для смартфона.

Читайте головні IT-новини країни в нашому Telegram
Читайте головні IT-новини країни в нашому Telegram
По темi
Читайте головні IT-новини країни в нашому Telegram
У Telegram розповсюджують шкідливі програми нібито від технічної підтримки «Резерв+»
У Telegram розповсюджують шкідливі програми нібито від технічної підтримки «Резерв+»
По темi
У Telegram розповсюджують шкідливі програми нібито від технічної підтримки «Резерв+»
Українські чиновники та військовослужбовці почали отримувати повідомлення про заборону використовувати Telegram — ЗМІ
Українські чиновники та військовослужбовці почали отримувати повідомлення про заборону використовувати Telegram — ЗМІ
По темi
Українські чиновники та військовослужбовці почали отримувати повідомлення про заборону використовувати Telegram — ЗМІ
Львівська ОВА заборонила Telegram на службових пристроях
Львівська ОВА заборонила Telegram на службових пристроях
По темi
Львівська ОВА заборонила Telegram на службових пристроях
Читайте также
«Россияне всегда хотят кого-то трахнуть». Никита Кныш рассказал FT, как украинские хакеры выдавали себя за девушек, взламывали камеры видеонаблюдения и россайты ради победы
«Россияне всегда хотят кого-то трахнуть». Никита Кныш рассказал FT, как украинские хакеры выдавали себя за девушек, взламывали камеры видеонаблюдения и россайты ради победы
«Россияне всегда хотят кого-то трахнуть». Никита Кныш рассказал FT, как украинские хакеры выдавали себя за девушек, взламывали камеры видеонаблюдения и россайты ради победы
Издание Financial Times опубликовало статью о работе украинских хакеров в войне против России, основанную на разговоре с украинским белым хакером Никитой Кнышем. Он, как и сотни других хакеров, помогает бороться с русскими захватчиками в киберпространстве. Приводим адаптированный перевод материала.
Как ломают видеоигры и выкладывают их пиратские копии? Рассказывает программист
Как ломают видеоигры и выкладывают их пиратские копии? Рассказывает программист
Как ломают видеоигры и выкладывают их пиратские копии? Рассказывает программист
Что, юный хакер, тебе интересно, какие игры до сих пор не крякнули? Тогда скорее читай эту статью. Ниже мы рассмотрим, какие технологии используются для защиты игр от взлома. Также не пройдем мимо рекордсменов. Узнаем о рекордном времени, за которое удалось сломать игру. И рассмотрим настоящие «крепкие орешки».
1 комментарий
Мошенники грабят украинцев от имени «Дія» и Зеленского: список сайтов
Мошенники грабят украинцев от имени «Дія» и Зеленского: список сайтов
Мошенники грабят украинцев от имени «Дія» и Зеленского: список сайтов
1 комментарий
Киберполицейские разработали онлайн-игру, которая поможет детям выработать навыки безопасного поведения в интернете: как скачать
Киберполицейские разработали онлайн-игру, которая поможет детям выработать навыки безопасного поведения в интернете: как скачать
Киберполицейские разработали онлайн-игру, которая поможет детям выработать навыки безопасного поведения в интернете: как скачать

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментариев пока нет.