💳 Кожен. Повинен. Мати. Trustee Plus: криптогаманець і європейська платіжна картка з лімітом 50к євро 👉
Вікторія ГорбікВойна
17 октября 2024, 08:38
2024-10-17
Користувачам «Резерв+» почали надходити підозрілі повідомлення. Експерт із кібербезпеки пояснив, чи означає це, що застосунок «хакнули»
Днями користувачам «Резерв+» почали надходити повідомлення з офіційного телеграм-каналу застосунку, які містили пропозиції завантажити підозрілі файли. Експерт із кібербезпеки Костянтин Корсун пояснив, що це могло значити, і що, на його думку, могли хакнути: «Резерв+» чи Telegram-канал.
Днями користувачі «Резерв+» почали отримувати повідомлення з офіційного Telegram-каналу застосунку з проханням завантажити файл REZERVPLUS.zip, як пише Костянтин Корсун, «для коректного внесення змін до реєстру».
За його словами, усі знають, що коректність внесення змін до «Оберігу» — це давно відома проблема. «Тому pretext був підібраний психологічно грамотно: ти встановив собі „Резерв+“, але сумніваєшся „чи точно мої дані внесені в реєстр коректно?“ І ось з офіційного ТГ-бота приходить файл, який точно виправить цю проблему та розвіє сумніви», — підкреслює експерт. Ось що він розповів далі.
Що сталося насправді?
Група хакерів «угнала» ТГ-бота, якого сам «Резерв+» визначив як «офіційного». І потім розіслали усім користувачам шкідливе ПЗ (malware), яке викрадало всю інформацію (клас stealer, модель Medusa Stealer). Після викрадення зі смартфона всього, що можна — ця «какашка» самовидаляється. Водночас більшість користувачів не здогадуються, що відбувається щось погане й що вся інформація з їхнього смартфона вже викрадена. Можливо, хтось про це здогадається, лише прочитавши цей допис.
Ця хакерська група відома під назвою DaVinci Group («UAC-0050» за українською класифікацією) і спеціалізується на кібершпигунстві. Використовує давно відомі інструменти: LunaStealer, RemcosRAT, різні дропери, а також MedusaStealer. Останній якраз і був використаний в атаці на користувачів «Резерв+». Зазначена група належить до категорії так званих «спонсорованих державою» (state sponsored) і спеціалізується на викраденні інформації саме з українських органів влади.
На кого працює і хто їм платить?
А здогадайтеся з двох раз. У мене язик не повертається звинувачувати тих користувачів «Резерв+», які стали жертвою цієї атаки та завантажили цей файл. Оскільки вони довірилися офіційному ресурсу, тому автоматично вважають легітимним усе, щоб з нього надходить. Як свого часу сталося з «Медком» — тоді було хакнуто офіційний канал оновлення продукту.
Коли вчора користувачі почали масово скаржитися на підозрілий файл, команда розробників із МОУ зрозуміла, що це атака, тому швиденько видалили в себе на сторінці посилання на цей скомпрометований ТГ-канал. На цьому реакція на інцидент і обмежилася — прикрили свою власну сраку.
Коли почали звучати звинувачення на адресу заступниці міністра оборони, яка відповідальна за «Резерв+», то її відповідь була наступною, дослівно: «Застосунок „Резерв+“ не має ботів чи сторінок у телеграмі. Це шахрайство». Кінець цитати. Той факт, що анонс запуску «Резерву» містив посилання на офіційні канали в «телегі» ще у травні 2024 року, і на це є приблизно тисяча скриншотів і вебархівів — пох, це все брехня, «вивсьоврьоті».
Чи можна сказати, що додаток «Резерв+» хакнули внаслідок цієї атаки?
Формально ні. Було хакнуто ТГ-канал, який команда розробників з МОУ рекламували як «офіційний». Чи було інфіковано тисячі (можливо більше) користувачів «Резерв+» внаслідок безвідповідального ставлення до архітектури додатка? Так, безперечно. І це ще ми не знаємо точну кількість уражених девайсів та кількість повторних «ланцюгових» уражень через контакти та контакти контактів.
Чи є причиною інфікування тисяч військовозобов’язаних, призовників та резервістів додаток «Резерв+»?
Так, однозначно. Він послужив «точкою входу» для зловмисників, найслабшою ланкою. Люди ще в момент релізу підписалися на «офіційний ТГ-бот», а яка його подальша доля, чи він вже не є офіційним — не знають і не можуть знати. Вони слухняно зробили все, як було сказано МОУ від початку та підписалися на ТГ-бот техпідтримки.
Чи винуваті розробники в цьому інциденті?
Категорично «так». Це вони прикрутили до суперкритичного військово-мобілізаційного додатка неконтрольованого ними Телеграм-бота. При тому, що сама платформа — Telegram- з великою ймовірністю контролюється ворогом, повністю або частково. І розробники «Резерв+» не в змозі видалити певний канал, який із якихось причин перестав бути «дружнім» — це може зробити або сам власник каналу, або адміністрація Telegram.
Чи призвів цей інцидент до катастрофічних наслідків для національної безпеки?
Не знаю. Залежить від обсягів та критичності викраденої ворогом інформації.
Чи заподіяли шкоду військовозобов’язаним громадянам?
Так, заподіяли: їхню інформацію отримав ворог і хтозна, як вона буде використана надалі.
Чи мусить хтось за це понести відповідальність?
У демократичній країні — однозначно.
Чи понесе хтось за це відповідальність в Україні часів М. Федорова? Ні в якому разі, забудьте.
Чи повториться аналогічний сценарій з іншими «офіційними ТГ-ботами чи ТГ-каналам»?
І до ворожки не ходи. Тим більше, що «це ж було вже»: офіційні ТГ-боти та ТГ-канали техпідтримки вже неодноразово зламували.
Замість висновку
До речі, нагадаю: коли хтось стверджує, що неможливо щось хакнути — це точна ознака повного профана. Будь-який фахівець із кібербезпеки твердо знає, що теоретично хакнути можна що завгодно. Питання лише в часі, ресурсах і мотивації виконавця. Але тут виникає інше, важливіше питання: а допоки в Україні будуть існувати «офіційні ТГ-канали»? Допоки офіційні органи влади будуть просувати та рекламувати відверто ворожий продукт, який вони фізично не в змозі контролювати?
Як на мене, у країні, яка веде криваву війну за виживання проти країни-розробниці телеграму, все це дуже смердить державною зрадою.UPD:
Той факт, що шкідливий файл мав розширення .ехе зовсім не виключає небезпеки для смартфонів: повідомлення приходило на смартфони, де встановлено Telegram, потім завантажується дропер, який потім підтягує стілер. Наявність на смартфоні дропера дозволяє завантажувати що завгодно на смартфон. Ну і щоб завантажити пейлоад на комп’ютер, потрібно відкрити Telegram на лаптопі/десктопі та синхронізуватися, що містить додаткові ризики для смартфона.
«Россияне всегда хотят кого-то трахнуть». Никита Кныш рассказал FT, как украинские хакеры выдавали себя за девушек, взламывали камеры видеонаблюдения и россайты ради победы
Издание Financial Times опубликовало статью о работе украинских хакеров в войне против России, основанную на разговоре с украинским белым хакером Никитой Кнышем. Он, как и сотни других хакеров, помогает бороться с русскими захватчиками в киберпространстве. Приводим адаптированный перевод материала.
Как ломают видеоигры и выкладывают их пиратские копии? Рассказывает программист
Что, юный хакер, тебе интересно, какие игры до сих пор не крякнули? Тогда скорее читай эту статью. Ниже мы рассмотрим, какие технологии используются для защиты игр от взлома. Также не пройдем мимо рекордсменов. Узнаем о рекордном времени, за которое удалось сломать игру. И рассмотрим настоящие «крепкие орешки».