Хакеры использовали уязвимость в Telegram для Windows, чтобы майнить криптовалюты и для установки шпионского софта, выяснила «Лаборатория Касперского». На серверах злоумышленников были обнаружены материалы из переписки пользователей. Жертвами атаки на Telegram в Windows могли стать до 1 тыс. человек.
Предположительно русскоязычные хакеры использовали уязвимость в Telegram для Windows, чтобы заражать ПК пользователей мессенджера. Это обнаружила «Лаборатория Касперского». Злоумышленники использовали брешь как минимум с марта 2017 года. О проблеме уведомили разработчиков мессенджера, уязвимость уже закрыта.
Злоумышленники преследовали несколько целей, полагают эксперты. Во-первых, они устанавливали шпионское ПО, для этого киберпреступники использовали уязвимость для доставки бэкдора. После установки он работал, ничем не обнаруживая себя. В результате хакеры получали удаленный доступ к компьютеру жертвы: бэкдор выполнял различные команды злоумышленников, в том числе установку шпионского ПО. Во-вторых, уязвимость эксплуатировалась для майнинга. Используя вычислительные возможности компьютера жертвы, преступники добывали такие криптовалюты, как Monero, Zcash, Fantomcoin и другие. Кроме того, на серверах злоумышленников аналитики обнаружили архивы с локальным кэшем Telegram, который преступники выкачивали у жертв. Каждый из них помимо прочего содержал в зашифрованном виде различные материалы пользователя из переписки: документы, аудио- и видеозаписи, фотографии.
Обнаруженные артефакты позволяют предположить русскоязычное происхождение преступников. Так, некоторые строчки во вредоносном коде были на русском языке, а в «засветившихся» email-адресах злоумышленников фигурировали русские слова и имена, пояснил “Ъ” антивирусный эксперт «Лаборатории Касперского» Алексей Фирш. Жертвами, по его словам, могли стать до 1 тыс. пользователей. «Мы исследовали только случай с клиентом для Windows. Не исключено, что другие платформы были подвержены уязвимости»,— уточняет он. Речь идет только о клиенте для ПК. Все случаи эксплуатации уязвимости были зафиксированы в России.
Уязвимость заключалась в использовании атаки RLO (right-to-left override) — это непечатный символ кодировки Unicode, зеркально отражающий направление знаков.
Обычно его применяют при работе с языками, в которых текст идет справа налево, например, с арабским или ивритом. Однако злоумышленники могут использовать RLO по-другому: он меняет порядок символов в названии файла, а значит, и его расширение. Таким образом жертвы скачивали вредоносный софт под видом, например, изображения, и сами запускали его, не подозревая, что это исполняемый файл, резюмировали в «Лаборатории Касперского».
Насколько выросло число взломов
По данным аналитического агентства Risk Based Security, в первой половине 2017 года было зафиксировано 2,2 тыс. утечек данных, которые привели к краже 6 млрд персональных данных. За весь 2016 год было украдено 4,2 млн записей. Россия находится на восьмом месте по количеству несанционированных доступов к персональным данным.