За даними попередження ФБР, опублікованого в п’ятницю, іранські урядові хакери використовують Telegram для викрадення даних у зламаних дисидентів, опозиційних груп та журналістів, які виступають проти режиму по всьому світу.
На першому етапі атаки хакери зв’язуються зі своїми цілями, видаючи себе за знайомих або техпідтримку, і обманом змушують їх перейти за посиланням на шкідливий файл, замаскований під легітимні додатки, такі як Telegram та WhatsApp. Після встановлення шкідливого програмного забезпечення на пристрій жертви починається другий етап атаки: заражений комп’ютер підключається до Telegram-ботів, які дозволяють хакерам віддалено керувати ним. За даними ФБР, це дає зловмисникам можливість отримати віддалений контроль над пристроями жертв, викрадати файли, робити знімки екрана та записувати Zoom-дзвінки.
Використання Telegram для віддаленого керування пристроєм жертви є поширеною технікою хакерів, яка дозволяє приховати шкідливу діяльність серед легітимного мережевого трафіку, що ускладнює її виявлення фахівцями з кібербезпеки та антивірусними продуктами.
За даними ФБР, хакери, відповідальні за ці атаки, нібито працюють на Міністерство розвідки та безпеки Ірану (MOIS). У ФБР заявили, що ці атаки є прикладом спроб іранських урядових хакерів просувати “геополітичний порядок денний” режиму.
У попередженні ФБР згадується проіранська та пропалестинська фейкова хактивістська група Handala, хоча незрозуміло, чи були атаки, згадані в попередженні, здійснені саме цією групою.
Раніше цього місяця Handala взяла на себе відповідальність за атаку на гіганта медичних технологій Stryker, яка призвела до видалення даних з десятків тисяч пристроїв співробітників.
У формі 8-K, поданій до Комісії з цінних паперів та бірж США в понеділок, Stryker заявила, що досі відновлюється після злому.
Минулого тижня Міністерство юстиції США звинуватило Handala в тому, що вона є підставною організацією уряду Ірану, зокрема MOIS, і стоїть за зламом Stryker. Того ж часу ФБР вилучило та заблокувало два веб-сайти, пов’язані з Handala, а також два інші сайти, пов’язані з іншою іранською хактивістською групою під назвою “Homeland Justice”. У нещодавньому попередженні ФБР зазначається, що ці дві групи пов’язані між собою та контролюються MOIS.
Представник ФБР в електронному листі заявив, що бюро “не має нічого додати”.
Представник Telegram Ремі Вон повідомив, що модератори платформи “регулярно видаляють будь-які облікові записи, причетні до поширення шкідливого програмного забезпечення”.
Оновлено з додаванням коментарів ФБР та Telegram.
Залишити відповідь