четвер05 грудня 2024
mozgy.in.ua

Подарили мошенникам. Что случилось с чат-ботом службы поддержки приложения "Резерв+" в Telegram?

16 октября в Госспецсвязи сообщили, что аккаунт в мессенджере Telegram, который маскируется под службу поддержки приложения для военнообязанных "Резерв+", распространяет сообщения с вредоносным программным обеспечением (ПО). Позже эту информацию подтвердила правительственная команда реагирования CERT-UA.
Подарили мошенникам. Что случилось с чат-ботом службы поддержки приложения "Резерв+" в Telegram?

Эта новость могла бы стать очередным предупреждением для граждан о необходимости соблюдения правил кибербезопасности, однако Министерство обороны действительно реализовало техподдержку для своего приложения через мессенджеры, в частности, Telegram.

В связи с этим в соцсетях началось активное обсуждение, мог ли кто-либо взломать "Резерв+" или его чат-бота в Telegram и кто отправлял украинцам сообщения с вредоносным программным обеспечением.

Хотя собеседник ЕП, знакомый с ситуацией, но не уполномоченный комментировать это событие, подтвердил отсутствие взлома приложения "Резерв+", однако история от этого не становится менее интересной.

Реклама:

Техподдержка в Telegram

После вступления в силу 18 мая 2024 года обновленным законом о мобилизации военнообязанные должны были обновить свои учетные данные в течение 60 дней. Это можно было сделать тремя способами, одним из которых – разработанное Минобороны (МОУ) приложение "Резерв+", которое позволяло обновить данные в реестре "Оберег" онлайн. По информации Минобороны, до конца августа более 1,8 млн мужчин воспользовались такой возможностью.

Службу поддержки приложения реализовали через чат-боты в Viber и Telegram, где пользователи могли оставить обращения по поводу ошибок или некорректности данных. Только за первую неделю техническая поддержка получила более 13 тыс. таких обращений.

"Мы решили обратиться к пользователям через удобные для них каналы, среди которых были Telegram и Viber. Мы там не публикуем никаких чувствительных данных – ничего такого, чего нет в Facebook или на сайте Минобороны. Это удобно на 100%", – объясняла Forbes Ukraine заместитель министра обороны по вопросам цифрового развития, цифровых трансформаций и цифровизации Екатерина Черногоренко.

Больше чем просто мессенджер: на что превратился Telegram в Украине и сможет ли власть его запретить?

Однако со временем в МОУ решили отказаться от чат-бота в Telegram. Ссылка на него исчезла и из приложения. Собеседник ЕП, знакомый с ситуацией, подтвердил, что чат-бот в Telegram удалили. Когда это произошло и сколько времени он работал, неизвестно. В Минобороны проигнорировали соответствующие вопросы ЕП. Там отметили, что в данный момент чат-бот не работает, а МОУ не ведет коммуникацию с пользователями "Резерву+" в Telegram.

Неизвестна и причина прекращения коммуникации через Telegram-бота. В сентябре Национальный координационный центр кибербезопасности решил ограничить использование этого мессенджера в государственных органах, военных формированиях и на объектах критической инфраструктуры. Как бы там ни было, выбор мессенджера в условиях войны – это вопрос не только удобства, но и нацбезопасности, так что разработчики должны были хорошо обдумывать такие решения.

"Любая информация, которую вы передаете в Telegram, идет в Россию. Данные, проходящие через чат-боты, доступны руководителям мессенджера – россиянам. Трудно даже представить, как возникла идея создать техподдержку приложения Минобороны во время войны в Telegram", – говорит руководитель проекта Kremlingram Назар Токар.

В итоге, даже решение МОУ удалить чат-бот в Telegram сыграло с командой злую шутку.

Святое место пусто не бывает

После удаления официального чат-бота в Telegram его юзернейм стал свободным для использования любым другим пользователем. В CERT-UA сообщили ЕП, что имя @reserveplusbot использовали злоумышленники для имитации Telegram-бота службы поддержки приложения "Резерв+".

"Когда команда решила покинуть Telegram, нужно было не удалять чат-бот, а прекратить его использовать, оставив URL-адрес под своим контролем. Удалив бот, они открыли возможность для любого зарегистрироваться с этим юзернеймом и использовать его по своему усмотрению", – говорит Токар.

В настоящее время неизвестно, кто использовал гиперссылку на некогда официальный чат-бот для фишинговой атаки. В CERT-UA добавляют, что это не первый случай, когда злоумышленники используют названия официальных государственных аккаунтов для своих целей. Подобная история происходила с чат-ботом "єВорог".

"Злоумышленники создавали учетные записи пользователей и чат-боты с похожими или такими же именами, чтобы запутать людей и направить важную для военных информацию о вражеской технике на фейковые аккаунты", – отмечают в ведомстве.

Десятилетие убыточности не мешает ему расти. Кто финансирует Telegram?

Кроме того, ЕП известно, что команда "Резерву+" не раз обращалась к представительству Telegram по поводу фейкового аккаунта, но там оставляли запросы МОУ без ответа. Игнорирование официальных обращений по поводу модерации в Telegram происходит не в первый раз.

В Telegram до сих пор отсутствуют четкие критерии для блокировки пользователей, поэтому правоохранительные органы разных стран обращаются в главный офис компании с соответствующими запросами, из-за чего модерация выглядит выборочной.

В CERT-UA сообщили ЕП, что 16 октября аккаунт @reserveplusbot удалили и обозначили как фейк. На момент публикации статьи в Telegram есть еще один чат-бот с названием "ReservePlusBot" и юзернеймом @ReservePlusRealBot. Кем он создан и кому принадлежит – установить не удалось.

Украденные данные и пострадавшие

Выдавая себя за представителей "Резерву+", мошенники отправляли сообщения с призывом установить специальное ПО. К письму прилагался файл RESERVPLUS.zip. В этом архиве содержался инсталлятор, который после запуска загружал файл "install.exe". Этот файл заражал компьютер вредоносным ПО Meduza Stealer.

Подбор файлов в архив проходил с 10 по 15 октября, а сам вирус впервые появился на форумах в даркнете и Telegram-каналах в июне 2023 года.

Компания Uptycs, занимающаяся кибербезопасностью, в 2023 году провела оценку Meduza Stealer. Согласно отчету, этот вирус может воровать персональные данные с устройств, анализирует активность пользователей в браузерах и осуществляет атаки на основе собранной информации.

Для каждой атаки злоумышленники могут настраивать вредоносное ПО для кражи определенных данных. Фейковый аккаунт техподдержки "Резерву+" настроили для кражи файлов с такими расширениями: .txt, .doc, .docx, .pdf, .xls, .xlsx, .log, .db, .sqlite.

"Вредоносное ПО было нацелено на кражу документов и служебных данных программ, в том числе истории, настроек, журналов событий программы. Вирус поражал в основном компьютеры с операционной системой Windows", – объясняет заместитель декана факультета информатики Национального университета "Киево-Могилянская академия" Трохим Бабич.

В