Piratage de la messagerie vocale Telegram utilisé contre le président et les ministres brésiliens

Quatre suspects ont été arrêtés cette semaine au Brésil pour avoir piraté plus de 1 000 comptes Telegram, dont certains appartiennent à Des responsables du gouvernement brésilien, tels que le président brésilien Jair Bolsonaro, le ministre de la Justice Sergio Moro et le ministre de l'Économie Paulo Guèdes.

D’autres personnalités politiques de rang inférieur, comme la députée Joice Hasselmann, alliée clé du président Bolsonaro et du ministre Moro, ont également affirmé avoir été ciblées en début de semaine.

Selon des documents judiciaires, les quatre hommes ont utilisé une astuce de piratage relativement inconnue pour lier les comptes Telegram des victimes à leurs téléphones.

Les médias locaux ont rapporté que les pirates avaient utilisé l'accès aux comptes pour envoyer des spams contenant des liens malveillants aux contacts des utilisateurs. Cependant, le groupe semble également avoir ciblé et détourné les comptes d’hommes politiques locaux, d’où ils auraient exfiltré des messages personnels.

L'enquête a commencé après la fuite de messages Telegram

Les autorités brésiliennes affirment que certains messages ont été envoyés aux journalistes de The Intercept à la suite du piratage informatique du ministre de la Justice Sergio Moro, qui affirme que cela a eu lieu le 5 juin.

Le site d'information en ligne, en partenariat avec d'autres grands médias locaux, a commencé à a publié une série d'articles quatre jours plus tard basés sur des messages Telegram Moro avait échangé avec Deltan Dallagnol, procureur de Opération Lave-Auto, une enquête pénale en cours sur des accusations de corruption et de blanchiment d'argent qui a conduit à l'arrestation de plusieurs hommes d'affaires et hommes politiques locaux de haut niveau, notamment l'ancien président Luis Inácio Lula da Silva.

Considéré comme un héros impartial de la lutte contre la corruption par certains et comme un militant anti-gauchiste par d'autres, la crédibilité de Moro a été mise en doute. car les échanges Telegram suggèrent que, alors qu'il était encore juge, il a chargé les procureurs du procès Lula, contre le Brésilien. loi. La peine de prison a retiré Lula de la course présidentielle de l'année dernière, après quoi Bolsonaro a nommé Moro au poste de ministre de la Justice.

Moro, qui est celui qui a lancé l'enquête sur l'Opération Car Wash, a affirmé que les messages ne révélaient aucun acte répréhensible et n'étaient que des conseils pour le procureur qui a pris en charge l'affaire.

Quoi qu’il en soit, une enquête criminelle a été ouverte. Les quatre arrestations annoncées cette semaine sont le résultat de l'enquête menée par le gouvernement brésilien sur l'origine de ces fuites.

Les noms des quatre pirates informatiques présumés sont Danilo Cristiano Marquez (33 ans), Walter Delgatti Neto (30 ans), Judy Gustavo Henrique Elias Santos (28 ans) et Suelen Priscilla de Oliveira (25 ans), l'épouse de Santos.

Les quatre hommes ont été arrêtés en vertu d'un mandat d'arrêt temporaire de cinq jours, mais n'ont pas été officiellement inculpés. Les enquêteurs ont déclaré avoir trouvé environ 600 000 réals brésiliens (~ 160 000 dollars) dans l'un des comptes bancaires du pirate informatique, que le suspect ne pouvait pas justifier en fonction de ses revenus.

En réaction aux arrestations, le fondateur de The Intercept, Glenn Greenwald, a fourni au magazine brésilien Véja avec un échange avec sa propre source, qui a nié avoir quoi que ce soit à voir avec l'incident de piratage du compte de messagerie vocale Telegram. Greenwald a dit Véja le premier contact avec la source a eu lieu un mois avant que Moro ne prétende avoir été piraté.

"Nous ne sommes pas des hackers débutants, le [piratage de la messagerie vocale] n'est pas cohérent avec notre façon de fonctionner - nous accédons Telegram dans le but d'extraire les conversations et de rendre justice, en faisant connaître la vérité aux gens", a-t-il déclaré. ajoutée.

L'astuce du piratage de compte de messagerie vocale

La technique de piratage informatique utilisée par les quatre auteurs présumés, telle que décrite dans un document judiciaire qui a conduit à leur arrestation, était documenté pour la première fois en 2017 par Ran Bar-Zik, un développeur Web israélien chez Oath.

Alors que Bar-Zik montrait l'attaque contre un compte WhatsApp, un an plus tard, en 2018, le chercheur en sécurité Martin Vigo a développé cette technique, montrant comment les attaquants pourraient utiliser des comptes de messagerie vocale pour pirater des comptes chez d'autres fournisseurs de services, tels que Facebook, Google, Twitter, WordPress, eBay ou PayPal. Apparemment, cette technique fonctionne également avec les comptes Telegram (Mise à jour: Pas plus. Telegram a déployé un correctif.).

La plupart des services de messagerie instantanée (MI) permettent aujourd'hui aux utilisateurs de recevoir des codes d'accès à usage unique par SMS, mais également sous forme de message vocal.

L'idée générale derrière cette astuce est que les utilisateurs d'applications de messagerie instantanée dont la messagerie vocale est activée pour leur numéro de téléphone courent un risque s'ils ne modifient pas le mot de passe par défaut du compte de messagerie vocale, qui dans la plupart des cas est 0000 ou 0000. 1234.

Bar-Zik a découvert que si le numéro de téléphone est occupé avec un autre appel, ou si l'utilisateur ne répond pas à son téléphone, trois fois de suite, le code d'accès à usage unique délivré par message vocal est finalement redirigé vers la messagerie vocale de l'utilisateur compte.

Selon les autorités brésiliennes, les quatre pirates ont installé des applications Telegram sur leurs téléphones, mais ont saisi le numéro de téléphone de personnalités politiques de premier plan lors de leur authentification.

Ils ont demandé des messages vocaux pour le processus d'authentification, tout en appelant les téléphones des cibles, pour s'assurer que le code d'accès à usage unique atterrissait dans le compte de messagerie vocale.

Les quatre ont ensuite utilisé des fournisseurs VoIP pour imiter le numéro de téléphone de la cible, appelé le service de messagerie vocale de l'entreprise de télécommunications, ont utilisé un mot de passe par défaut pour accéder au numéro de téléphone de la cible. compte de messagerie vocale, récupéré le mot de passe à usage unique et lié le compte Telegram de la victime à son appareil, accédant ainsi au compte et à son message histoire.

C’est la première fois que cette astuce de détournement de messagerie vocale est utilisée contre des cibles de premier plan. Jusqu'à présent, cette technique n'a pas été largement utilisée par les groupes criminels.

Au milieu des retombées des messages divulgués, des rapports locaux suggèrent que le président Bolsonaro envisage enfin d'utiliser un téléphone portable crypté fourni par l'agence de renseignement brésilienne (Abin).

Jusqu’à présent, Bolsonaro et ses ministres ont traîné les pieds pour le faire compte tenu de leurs efforts intensifs. utilisation des médias sociaux, ce qui ne serait pas possible avec les appareils Abin. Pour une communication instantanée entre les utilisateurs des appareils qu'elle propose, l'agence a développé l'application Athena, dont le contenu est protégé par la plateforme de cryptage portable PCPv2.

Un autre endroit où le détournement de messagerie vocale est populaire est en Israël, où l'Autorité nationale israélienne de cybersécurité a lancé une alerte en octobre 2018 sur une augmentation des attaques exploitant cette méthode, invitant les utilisateurs à modifier les mots de passe des comptes de messagerie vocale ou à désactiver complètement la messagerie vocale pour les numéros de téléphone mobile.

Mis à jour le 26 juillet 2019 à 12 h 38 HNE pour ajouter des détails sur la réaction de The Intercept aux arrestations.

Mis à jour le 30 juillet 2019 à 13 h 51 HNE avec des informations sur le correctif de Telegram.

Couverture gouvernementale connexe :

• La NSA va créer une division axée sur la défense, nommée Direction de la cybersécurité
• L'entrepreneur qui a volé 50 To de données de la NSA écope de neuf ans de prison
• Le gouverneur de Louisiane déclare l'état d'urgence après une épidémie locale de ransomware
• La base de données piratée de la Bulgarie est désormais disponible sur les forums de piratage
  
• Des pirates piratent l'entrepreneur du FSB, exposent le projet de désanonymisation de Tor et bien plus encore
• Les efforts d'interception HTTPS du Kazakhstan ciblent Facebook, Google, Twitter et d'autres
  
• Comment l’Estonie est devenue une puissance de l’e-gouvernement TechRépublique
• Le Sri Lanka bloque les réseaux sociaux après les explosions meurtrières de Pâques CNET