Украинский исследователь кибербезопасности обнаружил в Telegram шпионскую систему Ирана

Боб Дьяченко, исследователь кибербезопасности в Украине, проводит часть своих дней в поисках на просторах Интернета множества данных, которые не защищены должным образом, чтобы найти уязвимые места и поставить защиту от хакеров.

В прошлом месяце Боб наткнулся на незащищенный сервер, хранящий информацию о 42 миллионах аккаунтов из Ирана, привязанных к мессенджеру Telegram.

Не было никаких прямых подсказок относительно того, кто получил данные и разместил их на сервере. Была только целевая страница, вся черная, с логотипом белого орла и посланием на фарси.

"Добро пожаловать в систему охоты", - говорится в сообщении на странице.

Дьяченко заявил, что уведомил иранское агентство по кибербезопасности, и вскоре после этого сервер был отключен.

Но прежде чем он исчез, другие киберлейты начали собственное расследование. В конечном итоге это привело их к хакерской группе с невероятным никнеймом - "Очаровательный котенок" (Charming Kitten - англ.) и поразительным выводом: Дьяченко наткнулся на шпионскую операцию иранского правительства.

"Уже более 10 лет я слежу за иранскими кибератаками и слежкой, и я никогда не видел ничего подобного", - сказал Амир Рашиди, иранский исследователь в области интернет-безопасности и цифровых прав, базирующийся в Нью-Йорке. "Они могли бы использовать это, чтобы преследовать моих родственников, моих друзей, мою семью".

Множество данных, части которых были просмотрены Bloomberg News, содержали имена пользователей, телефонные номера, биографии пользователей и уникальные коды - или "хэши" - связанные с учетными записями, хранящимися на сервере.

Неясно, были ли данные в основном от пользователей Telegram или от пользователей неофициальных версий приложения, которые стали популярными после того, как Telegram был запрещен в Иране в 2018 году. Некоторые неофициальные приложения, использующие тот же исходный код, что и Telegram, были ранее связаны с правительством Ирана.

В любом случае, эти данные могут быть использованы для клонирования учетных записей людей и отслеживания частных сообщений, идентификации пользователей, которые используют Telegram анонимно, или рассылки пропаганды или дезинформации, направленных на конкретные группы, говорит Дьяченко.

Рашиди сказал, что ранее было известно о том, что Иран избирательно взламывал аккаунты отдельных людей. Однако, "система охоты" показывает, что иранские власти используют новые и более агрессивные методы сбора и анализа огромных массивов данных о своих гражданах, говорит Амир.

"Это первый раз, когда я увидел доказательства того, что они пытаются проанализировать данные в широком масштабе", - сказал Рашиди.

В сообщении Telegram присланном Bloomberg по email говорится, что, по мнению компании, данные получены из неофициальных версий приложения, используемых в Иране, которые могли тайно собирать информацию о пользователях Telegram с телефонов людей.

"Образцы данных, которые мы смогли изучить, ясно показывают, что информация собирал а сь с использованием сторонних приложений, которые крали данные у их пользователей", - сказал Маркус Ра, представитель Telegram.

"Если один из ваших друзей, у которого есть ваш номер, использовал вредоносное приложение, ваш номер и имя пользователя могут оказаться в базе данных", например в "системе охоты", сказал Ра, "даже если вы сами не использовали это вредоносное приложение".

По крайней мере, некоторые из пользовательских аккаунтов в базе данных связаны с активными пользователями официального приложения Telegram на основе обзора, сравнивающего учетные записи на сервере и в приложении. Отметки времени показывают, что некоторые аккаунты пользователей Telegram были доступны только в марте 2020 года.

Кибер-полиция Ирана пока не комментирует ситуацию с утечкой данных. Амир Наземи, заместитель министра в министерстве связи и информационных технологий Ирана, заявил, что подал жалобу на нарушение данных в Генеральную прокуратуру Ирана. Он отказался комментировать, были ли киберполиция или другие правительственные учреждения вовлечены в "систему охоты".

Об обнаружении сервера Бобом Дьяченко было сообщено в компьютерной торговой публикации. Несколько иранских исследователей в области кибербезопасности продолжают изучать данные.

Один из них, Мохаммад Джорджанди, который живет и работает в США, обнаружил, что сервер, хранящий пользовательские данные, был зарегистрирован в офисе на северо-западе Тегерана человеком по имени Манучехр Хашемлу (Hashemloo).

Используя онлайн-записи Bloomberg News, Джорджанди установил, что Hashemloo использовал тот же адрес Gmail, который использовал известный хакер, связанный с иранским правительством. Хакер, который использует никнейм ArYaIeIrAN, был связан с предполагаемой хакерской группой, спонсируемой правительством Ирана, известной как "Очаровательный котенок", которая ранее атаковала иранских диссидентов, ученых, журналистов и правозащитников.

Джорджанди пришел к выводу, что люди, которые настроили сервер "системы охоты", вероятно, работали на правительство Ирана.

ClearSky Cyber??Security также ранее обнаружила несколько хакерских операций, выполненных ArYaIeIrAN связанным с Hashemloo, и в отчете 2017 года упоминается адрес Gmail хакера, который связан с операциями, выполняемыми "Очаровательным котенком".

Другой иранский исследователь безопасности сказал, что Hashemloo был "известным человеком в безопасности и хакерском обществе" в Иране, чье имя было во многих кибер-операциях правительства Ирана. Исследователь, который живет в Иране и просит анонимности из-за проблем безопасности, сказал, что "система охоты", вероятно, была порталом для иранского агентства кибер-полиции, которое было создано в 2011 году отчасти для целевых групп инакомыслящих и критиков правительства.

Взломы "Очаровательного котенка" были задокументированы исследователями в течение нескольких лет.

В своем отчете за 2017 год ClearSky задокументировал, что Charming Kitten создал поддельные новостные сайты, в том числе один с именем britishnews.com, и попытался взломать компьютеры журналистов, правозащитников и исследователей из Европы и Ближнего Востока.

В прошлом году ClearSky заявил, что та же группа хакеров попыталась взломать учетные записи электронной почты нынешних и бывших должностных лиц США, людей, связанных с нынешней президентской кампанией в США, журналистов, освещающих глобальную политику, и известных иранцев, живущих за пределами Ирана.

"У нас есть веские доказательства того, что Charming Kitten является хакерской группой, спонсируемой государством Иран", сказал Охад Зайденберг, ведущий исследователь компании в области кибер-разведки.

Зайденберг сказал, что он не смог узнать, кто стоит за "системой охоты". Но в прошлом, по его словам, группа Charming Kitten предназначалась для пользователей Telegram.

Ранее группа создала вредоносный веб-сайт, который был похож на страницу входа в Telegram, утверждает Зайденберг.

В течение многих лет иранцы использовали Telegram в качестве средства связи, используя шифрование для защиты личных сообщений. Приложение также позволяет пользователям присоединяться к группам, где они могут узнать о новостях, которые подвергаются цензуре со стороны государственных СМИ в стране.

После запрета на Telegram некоторые иранцы обошли его, используя программное обеспечение, такое как виртуальные частные сети, что позволило им обойти блокировку страны на веб-сайте Telegram, сообщает Рашиди.

Другие начали скачивать неофициальные версии Telegram, называемые Hotgram и Telegram Gold, которые используют тот же базовый код, что и официальное приложение, но не управляются Telegram.

Эксперты по кибербезопасности подозревают, что неофициальные приложения могли быть разработаны иранским правительством в качестве средства контроля за гражданами страны.

В мае 2019 года Нассролла Пежманфар, член парламента Ирана, подтвердил эти подозрения, заявив, что Telegram Gold и Hotgram были профинансированы разведывательными и коммуникационными министерствами Ирана, которые, по его словам, потратили около $90 млн. на их создание.

"Было очевидно, что они связаны с властями Ирана", - говорит Махса Алимардани, исследователь, специализирующийся на Иране в Оксфордском интернет-институте. "Они подвергали цензуре контент на платформах и пытались централизовать контроль над пользователями".

Telegram предупредил иранцев против использования неофициальных приложений. В прошлом году они были удалены из Google Play Store по соображениям безопасности.

"К сожалению, несмотря на наши предупреждения, люди в Иране все еще используют непроверенные приложения", - сказал Ра, представитель Telegram.