На конференции Black Hat сообщили, что хакерская группировка смогла скомпрометировать несколько аккаунтов в мессенджере Telegram и получить телефонные номера 15 млн пользователей. Telegram в Иране используют около 20 млн человек из 77-миллионного населения страны.

Удивительно, что такую атаку провернули злоумышленники, не отличающиеся особым профессионализмом: они были замечены в нескольких ничем не выдающихся фишинговых кампаниях, а также настолько непрофессионально относились к защите собственной инфраструктуры, что ИБ-эксперты без особых проблем взломали их сервер и определили двух участников группировки. Кроме того, горе-хакеры заразили собственные компьютеры своим же зловредом по неосторожности. Дошло даже до того, что исследователи смогли получить доступ к подробному резюме одного из участников.

Эксперты говорят, что хакеры из группировки Rocket Kitten могли работать при содействии спецслужб Ирана. Злоумышленники атаковали Telegram через самое слабое звено в системах двухфакторной аутентификации — SMS-сообщения.

Получить доступ к SMS-сообщениям хакерам могли помочь мобильные операторы, получив соответствующий запрос от спецслужб. Также атака на SS7 позволяет злоумышленникам перенаправить себе чужие авторизационные сообщения и таким образом привязать свои телефонные номера к целевому аккаунту Telegram.

Rocket Kitten уже атаковала ряд общественных и научных организаций в Германии и Израиле; особый интерес для хакеров представляют физики-ядерщики, ученые, бывшие военные, теологи из Саудовской Аравии, региональные базы НАТО и СМИ. В качестве орудия ОПГ использует примитивные фишинговые схемы.

В Check Point считают, что за атакой стоят обычные юные и неопытные хакеры с националистическим уклоном, сумевшие получить помощь от иранского оператора и таким образом открыть для себя мир кибершпионажа.

Двухфакторная аутентификация при помощи SMS — пример компромисса между удобством пользователя и защитой. Известны способы компрометации SMS, что делает метод слишком ненадежным для финансовых или банковских приложений, а также всепроникающих сервисов Google и Facebook. Институт NIST не так давно практически признал авторизацию по SMS не соответствующей новым стандартам безопасности.

Категории: Кибероборона, Уязвимости, Хакеры