На этой неделе в Бразилии были арестованы четверо хакеров, которых обвиняют во взломе более чем 1000 учетных записей Telegram: Данило Криштиану Маркес (Danilo Cristiano Marquez, 33 года), Уолтер Делгатти Нето (Walter Delgatti Neto, 30 лет), Джуди Густаво Энрике Элиас Сантос (Judy Gustavo Henrique Elias Santos, 28 лет) и Суэлен Присцилла де Оливейра (Suelen Priscilla de Oliveira, 25 лет) — жена Сантоса.
В числе пострадавших от взломов были высокопоставленные правительственные чиновники, включая президента страны Жаира Болсонару, а также министра юстиции Сержиу Мору и министра экономики Пауло Гуэдеса. Другие политики более низкого ранга, такие как конгрессмен Джойс Хассельманн тоже утверждают, что подвергались атакам.
По данным местных СМИ, хакеры использовали взломанные учетные записи для рассылки контактам пострадавших спам-сообщений с вредоносными ссылками. Также группировка, очевидно, прицельно атаковала местных политиков, у которых, как сообщается, были похищены личные сообщения.
Бразильские власти утверждают, что некоторые из этих сообщений были переданы журналистам издания The Intercept после взлома аккаунта министра юстиции Сержиу Мору, произошедшего 5 июня 2019 года.
The Intercept действительно опубликовал на своих страницах переписку Моро с прокурором Дельтаном Далланьолом (Deltan Dallagnol), занимавшимся операцией «Автомойка» — одним из крупнейших антикоррупционных расследований и скандалов в Бразилии. Это расследование привело к массовым арестам, в том числе аресту нескольких крупных бизнесменов, политиков и бывшего президента страны Луиса Инасиу Лула да Силвы, которого в итоге приговорили к 12 годам лишения свободы.
Проблема в том, что на момент переписки, Сержиу Мору еще был судьей, который вел процесс против экс-президента Лулы да Силвы, а Дельтан Далланьол представлял сторону обвинения. И если раньше Моро старался создать образ беспристрастного и неангажированного борца с коррупцией, то переписка демонстрирует, что он не только инструктировал прокуроров, как лучше и быстрее обвинить экс-президента, но даже давал советы по разработке наглядной агитации против да Сильвы.
После слива переписки сам Мору заявил, что в этих сообщениях не было ничего предосудительного и никаких нарушений, а он всего лишь помог прокурору парой советов.
Основатель The Intercept Гленн Гринвальд уже заявил, что источник, от которого издание получило переписку Мору, отрицал всякую связь со взломами аккаунтов Telegram, к тому же издание получило данные за месяц до того, как министр юстиции заявил о взломе.
Однако вернемся к арестованным хакерам. Они были задержаны по временному пятидневному ордеру, и пока никаких официальных обвинений им не предъявили. Следователи утверждают, что обнаружили на одном из банковских счетов предполагаемого злоумышленника около 600 000 бразильских реалов (примерно 160 000 долларов США), происхождение которых подозреваемый объяснить не смог.
Техника взлома учетных записей Telegram, о которой сейчас заговорили все мировые СМИ, объяснена в судебном документе, связанном с арестом четырех хакеров. Впервые этот метод атак был описан еще в 2017 году исследователем Раном Бар-Зиком (Ran Bar-Zik).
Тогда Бар-Зик описывал атаку на мессенджер WhatsApp, но через год ИБ-специалист Мартин Виго (Martin Vigo) адаптировал данную технику для Facebook, Google, Twitter, WordPress, eBay, PayPal и других сервисов, продемонстрировав результаты своей работы на конференции Defcon. Очевидно, для Telegram этот способ работает ничуть не хуже.
Суть атаки заключается в том, что большинство IM позволяют пользователям получать одноразовые коды доступа по SMS, а также в виде голосовых сообщений. И пользователи мессенджеров, у которых активна функция голосовой почты, подвергаются риску, если они не меняли пароль для голосовой почты по умолчанию, так как в большинстве случаев это «0000» или «1234».
Бар-Зик заметил, что если номер занят другим вызовом, или если пользователь не отвечает на вызов три раза подряд, одноразовый код в конечном итоге перенаправляется на учетную запись голосовой почты пользователя. Откуда его весьма просто извлечь.
По информации бразильских властей, четверо хакеров действовали просто: они установили на свои устройства приложения Telegram, но указали не свои номера телефонов, а номера известных политиков. Затем они запрашивали аутентификацию посредством голосового сообщения, и в это время принимались звонить на телефоны получателей, чтобы одноразовый код доступа точно был направлен в голосовую почту. После подозреваемые имитировали телефонные номера целей (с помощью VoIP), использовали пароль по умолчанию для доступа к учетной записи голосовой почты, получали одноразовый код и привязали учетную запись Telegram жертвы к своему устройству, то есть получали доступ к аккаунту и всей истории его сообщений.