Данные пользователей Telegram под угрозой

Хакеры нашли уязвимость в мессенджере Telegram, который работал у пользователей на платформе Windows. Она позволяла удаленно без ведома владельца устанавливать программное обеспечение для майнинга криптовалют. Злоумышленников нашли, и выяснилось, что кроме добычи электронных денег были взломаны чаты с личными переписками. По предварительным оценкам пострадали около 1000 пользователей. В настоящее время атака пресечена.

Следователи полагают, что ответственными за атаку стали русские хакеры. Уязвимость была найдена п операционной системе от Microsoft – Windows. Причем пользовались этой возможностью хакеры достаточно долго, около года. Согласно данным российской антивирусной компании «Лаборатория Касперского», которая и обнаружила действия злоумышленников, первые атаки датированы мартом 2017 года. В срочном порядке разработчики мессенджера были уведомлены, после чего IT-специалисты Telegram «пофиксили» уязвимость.

Хакеры преследовали сразу несколько целей. Первая и основная – это использование так называемого «бэкдора», который доставлялся через уязвимое место, позволяя устанавливать удаленно вредоносное программное обеспечение для добычи криптовалюты. Программа работала скрытно, не отображаясь в запущенных процессах, следовательно, пользователь сам ее обнаружить не имел возможности. Функции «бэкдора» использовались не только для установки майнинговых программ, спектр вредоносного ПО, как отмечают специалисты «Лаборатории Касперского» был весьма широк. Вторая функция – удаленная установка шпионского ПО, сбор данных о пользователе. Это могли быть пароли от различных соцсетей, почты, даже пароли от кредиток, если владелец компьютера осуществлял покупки через интернет. Активно скачивалась папка с кеш-памятью, личные фотографии, что теоретически можно было использовать для шантажа.

Вывод о том, что русскоговорящие хакеры стоят за этой атакой сделан на основании разбора кода вредоносного ПО, в нем найдено множество комментариев на русском языке. Также злоумышленники «засветили» адреса электронной почты, в которых были использованы русские слова. «Атака обнаружена на платформах с операционной системой Windows, мы тестировали это на клиенте под ней. Пока нельзя с уверенностью сказать, что пострадали только эти пользователи, возможно, другие операционные системы тоже были заражены. Выявлено до 1000 пострадавших пользователей, расследование еще не закончено», - пояснил эксперт из «Лаборатории Касперского» Алексей Фирш. Кроме того, эксперт отметил, что все случаи заражения вредоносным ПО были зафиксированы исключительно на территории России.

Суть уязвимости мессенджера Telegram, работающего под Windows в использовании атаки RLO (right-to-left override). В основе лежит непечатная символика кодировки Unicode, которая при использовании отражает направление знаков. Подобную кодировку чаще всего используют в «мирных» целях и отнюдь не злоумышленники, она позволяет решать широкий спектр задач. Например, когда дело касается работы с текстом, идущим не справа налево, а наоборот. Кодировка автоматически изменяет направление текста, распознавая такие языки ка иврит и арабскую вязь, например. А вот хакеры занимаются изменением названий файлов, тем самым меняя их расширение. На практике это выглядело следующим образом: пользователь скачивал какой-либо файл из интернета, даже обычную картинку, а под ней при помощи кодировки Unicode замаскирован вредоносный файл, и при открытии картинки уже на компьютере этот файл сам себя устанавливал, скрытно от владельца компьютера. То есть вредоносный софт заносили себе в компьютер сами пользователи, подытожили в «Лаборатории Касперского».