Подарили мошенникам. Что случилось с чат-ботом службы поддержки приложения "Резерв+" в Telegram?
Эта новость могла бы стать очередным предупреждением для граждан о необходимости соблюдения правил кибербезопасности, однако Министерство обороны действительно реализовало техподдержку для своего приложения через мессенджеры, в частности, Telegram.
В связи с этим в соцсетях началось активное обсуждение, мог ли кто-либо взломать "Резерв+" или его чат-бота в Telegram и кто отправлял украинцам сообщения с вредоносным программным обеспечением.
Хотя собеседник ЕП, знакомый с ситуацией, но не уполномоченный комментировать это событие, подтвердил отсутствие взлома приложения "Резерв+", однако история от этого не становится менее интересной.
Техподдержка в Telegram
После вступления в силу 18 мая 2024 года обновленным законом о мобилизации военнообязанные должны были обновить свои учетные данные в течение 60 дней. Это можно было сделать тремя способами, одним из которых – разработанное Минобороны (МОУ) приложение "Резерв+", которое позволяло обновить данные в реестре "Оберег" онлайн. По информации Минобороны, до конца августа более 1,8 млн мужчин воспользовались такой возможностью.
Службу поддержки приложения реализовали через чат-боты в Viber и Telegram, где пользователи могли оставить обращения по поводу ошибок или некорректности данных. Только за первую неделю техническая поддержка получила более 13 тыс. таких обращений.
"Мы решили обратиться к пользователям через удобные для них каналы, среди которых были Telegram и Viber. Мы там не публикуем никаких чувствительных данных – ничего такого, чего нет в Facebook или на сайте Минобороны. Это удобно на 100%", – объясняла Forbes Ukraine заместитель министра обороны по вопросам цифрового развития, цифровых трансформаций и цифровизации Екатерина Черногоренко.
Однако со временем в МОУ решили отказаться от чат-бота в Telegram. Ссылка на него исчезла и из приложения. Собеседник ЕП, знакомый с ситуацией, подтвердил, что чат-бот в Telegram удалили. Когда это произошло и сколько времени он работал, неизвестно. В Минобороны проигнорировали соответствующие вопросы ЕП. Там отметили, что в данный момент чат-бот не работает, а МОУ не ведет коммуникацию с пользователями "Резерву+" в Telegram.
Неизвестна и причина прекращения коммуникации через Telegram-бота. В сентябре Национальный координационный центр кибербезопасности решил ограничить использование этого мессенджера в государственных органах, военных формированиях и на объектах критической инфраструктуры. Как бы там ни было, выбор мессенджера в условиях войны – это вопрос не только удобства, но и нацбезопасности, так что разработчики должны были хорошо обдумывать такие решения.
"Любая информация, которую вы передаете в Telegram, идет в Россию. Данные, проходящие через чат-боты, доступны руководителям мессенджера – россиянам. Трудно даже представить, как возникла идея создать техподдержку приложения Минобороны во время войны в Telegram", – говорит руководитель проекта Kremlingram Назар Токар.
В итоге, даже решение МОУ удалить чат-бот в Telegram сыграло с командой злую шутку.
Святое место пусто не бывает
После удаления официального чат-бота в Telegram его юзернейм стал свободным для использования любым другим пользователем. В CERT-UA сообщили ЕП, что имя @reserveplusbot использовали злоумышленники для имитации Telegram-бота службы поддержки приложения "Резерв+".
"Когда команда решила покинуть Telegram, нужно было не удалять чат-бот, а прекратить его использовать, оставив URL-адрес под своим контролем. Удалив бот, они открыли возможность для любого зарегистрироваться с этим юзернеймом и использовать его по своему усмотрению", – говорит Токар.
В настоящее время неизвестно, кто использовал гиперссылку на некогда официальный чат-бот для фишинговой атаки. В CERT-UA добавляют, что это не первый случай, когда злоумышленники используют названия официальных государственных аккаунтов для своих целей. Подобная история происходила с чат-ботом "єВорог".
"Злоумышленники создавали учетные записи пользователей и чат-боты с похожими или такими же именами, чтобы запутать людей и направить важную для военных информацию о вражеской технике на фейковые аккаунты", – отмечают в ведомстве.
Кроме того, ЕП известно, что команда "Резерву+" не раз обращалась к представительству Telegram по поводу фейкового аккаунта, но там оставляли запросы МОУ без ответа. Игнорирование официальных обращений по поводу модерации в Telegram происходит не в первый раз.
В Telegram до сих пор отсутствуют четкие критерии для блокировки пользователей, поэтому правоохранительные органы разных стран обращаются в главный офис компании с соответствующими запросами, из-за чего модерация выглядит выборочной.
В CERT-UA сообщили ЕП, что 16 октября аккаунт @reserveplusbot удалили и обозначили как фейк. На момент публикации статьи в Telegram есть еще один чат-бот с названием "ReservePlusBot" и юзернеймом @ReservePlusRealBot. Кем он создан и кому принадлежит – установить не удалось.
Украденные данные и пострадавшие
Выдавая себя за представителей "Резерву+", мошенники отправляли сообщения с призывом установить специальное ПО. К письму прилагался файл RESERVPLUS.zip. В этом архиве содержался инсталлятор, который после запуска загружал файл "install.exe". Этот файл заражал компьютер вредоносным ПО Meduza Stealer.
Подбор файлов в архив проходил с 10 по 15 октября, а сам вирус впервые появился на форумах в даркнете и Telegram-каналах в июне 2023 года.
Компания Uptycs, занимающаяся кибербезопасностью, в 2023 году провела оценку Meduza Stealer. Согласно отчету, этот вирус может воровать персональные данные с устройств, анализирует активность пользователей в браузерах и осуществляет атаки на основе собранной информации.
Для каждой атаки злоумышленники могут настраивать вредоносное ПО для кражи определенных данных. Фейковый аккаунт техподдержки "Резерву+" настроили для кражи файлов с такими расширениями: .txt, .doc, .docx, .pdf, .xls, .xlsx, .log, .db, .sqlite.
"Вредоносное ПО было нацелено на кражу документов и служебных данных программ, в том числе истории, настроек, журналов событий программы. Вирус поражал в основном компьютеры с операционной системой Windows", – объясняет заместитель декана факультета информатики Национального университета "Киево-Могилянская академия" Трохим Бабич.
В