Взлом голосовой почты Telegram использован против президента и министров Бразилии

На этой неделе в Бразилии были арестованы четверо подозреваемых за взлом более 1000 аккаунтов Telegram, в том числе принадлежащих Бразильские правительственные чиновники, такие как президент Бразилии Жаир Болсонару, министр юстиции Серхио Моро и министр экономики Пауло. Гедес.

Другие политики более низкого ранга, такие как конгрессмен Джойс Хассельманн, ключевой союзник президента Болсонару и министра Моро, также заявили, что подверглись нападениям ранее на этой неделе.

Согласно судебным документам, эти четверо использовали относительно неизвестный хакерский трюк, чтобы привязать учетные записи Telegram жертв к их телефонам.

Местные СМИ сообщили, что хакеры использовали доступ к аккаунтам для рассылки спам-сообщений с вредоносными ссылками на контакты пользователей. Однако группа, судя по всему, также преследовала и захватывала учетные записи местных политиков, откуда, как предполагается, они передавали личные сообщения.

Расследование началось после утечки сообщений в Telegram

Бразильские власти утверждают, что некоторые сообщения попали к журналистам The Intercept после взлома министра юстиции Серхио Моро, который утверждает, что это произошло 5 июня.

Новостной онлайн-сайт в сотрудничестве с другими крупными местными новостными агентствами начал четыре дня спустя опубликовал серию историй, основанных на сообщениях Telegram Моро обменялся с Дельтаном Далланьолом, прокурором Операция «Автомойка», продолжающееся уголовное расследование по обвинениям во взяточничестве и отмывании денег, которое привело к аресту несколько местных известных бизнесменов и политиков, в первую очередь бывший президент Луис Инасиу Лула да Сильва.

Моро, которого одни считают беспристрастным героем, борющимся с коррупцией, а другие - борцом с левыми взглядами, авторитет Моро был поставлен под сомнение. поскольку обмен сообщениями в Telegram предполагает, что он, еще будучи судьей, давал указания прокурорам по делу Лулы, которое против Бразилии закон. Приговор к тюремному заключению лишил Лулу прошлогодняя президентская гонка, после чего Болсонару назначил Моро министром юстиции.

Моро, который инициировал расследование операции «Автомойка», заявил, что сообщения не указывают на какие-либо правонарушения и представляют собой всего лишь совет прокурору, который взял на себя ведение дела.

В любом случае было возбуждено уголовное дело. Четыре ареста, о которых было объявлено на этой неделе, являются результатом расследования бразильского правительства источника этих утечек.

Имена четырех предполагаемых хакеров: Данило Криштиану Маркес (33 года), Уолтер Дельгатти Нето (30 лет), Джуди Густаво Энрике Элиас Сантос (28 лет) и Суэлен Присцилла де Оливейра (25 лет) — жена Сантоса.

Все четверо были арестованы на основании временного пятидневного ордера, но официальных обвинений им не предъявлено. Следователи заявили, что нашли около 600 000 бразильских реалов (около 160 000 долларов США) на одном из банковских счетов хакера, которые подозреваемый не мог оправдать своим доходом.

В ответ на аресты основатель The Intercept Гленн Гринвальд предоставил бразильскому журналу Вежа в ходе разговора со своим собственным источником, который отрицал свое какое-либо отношение к инциденту со взломом учетной записи голосовой почты Telegram. Гринвальд рассказал Вежа первый контакт с источником произошел за месяц до того, как Моро заявил, что его взломали.

«Мы не новички в хакерстве, [взлом голосовой почты] не соответствует нашему методу работы — мы получаем доступ Telegram с целью извлечения разговоров и отправления правосудия, донесения до людей правды", - говорится в сообщении. добавлен.

Трюк с захватом учетной записи голосовой почты

Техника взлома, использованная четырьмя предполагаемыми преступниками, описанная в судебный документ что привело к их аресту, было впервые задокументировано в 2017 году Раном Бар-Зиком., израильский веб-разработчик из Oath.

В то время как Бар-Зик продемонстрировал атаку на аккаунт WhatsApp, год спустя, в 2018 году, исследователь безопасности Мартин Виго подробно остановился на этой технике., показывающий, как злоумышленники могут использовать учетные записи голосовой почты для взлома учетных записей других поставщиков услуг, таких как Facebook, Google, Twitter, WordPress, eBay или PayPal. Судя по всему, этот метод работает и с аккаунтами Telegram (Обновлять: Уже нет. Telegram выпустил исправление.).

Сегодня большинство служб обмена мгновенными сообщениями (IM) позволяют пользователям получать одноразовые пароли через SMS, а также в виде голосового сообщения.

Основная идея этого трюка заключается в том, что пользователи приложений для обмена мгновенными сообщениями, у которых для телефонных номеров включена голосовая почта, подвергаются риску, если не изменят пароль по умолчанию для учетной записи голосовой почты, который в большинстве случаев имеет тенденцию быть либо 0000, либо 1234.

Бар-Зик обнаружил, что если номер телефона занят другим вызовом или если пользователь не отвечает на звонок, три раз подряд одноразовый пароль, доставленный в голосовом сообщении, в конечном итоге перенаправляется на голосовую почту пользователя. счет.

По данным бразильских властей, четверо хакеров установили приложения Telegram на свои телефоны, но при аутентификации ввели номера телефонов высокопоставленных политиков.

Во время звонка на телефоны жертв они запрашивали сообщения голосовой почты для процесса аутентификации, чтобы гарантировать, что одноразовый пароль попадет в учетную запись голосовой почты.

Затем эти четверо использовали провайдеров VoIP, чтобы имитировать телефонный номер цели, называемую службой голосовой почты телекоммуникационной компании, и использовали пароль по умолчанию для доступа к цели. учетную запись голосовой почты, получил одноразовый код доступа и привязал учетную запись Telegram жертвы к ее устройству - таким образом, получив доступ к учетной записи и ее сообщению. история.

Это первый раз, когда этот трюк с перехватом голосовой почты был использован против высокопоставленных лиц. До сих пор этот метод широко не использовался преступными группировками.

На фоне последствий утечки сообщений местные сообщения предполагают, что президент Болсонару, наконец, рассматривает возможность использования зашифрованного мобильного телефона, предоставленного Бразильским разведывательным управлением (Абин).

До сих пор Болсонару и его министры медлили с этим, учитывая их интенсивные усилия. использование социальных сетей, что было бы невозможно с устройствами Abin. Для мгновенного общения между пользователями предоставляемых устройств агентство разработало приложение Athena, контент которого защищен портативной платформой шифрования PCPv2.

Еще одно место, где был популярен перехват голосовой почты, — это Израиль, где находится Национальное управление кибербезопасности Израиля. разослал предупреждение в октябре 2018 года об увеличении количества атак с использованием этого метода, призывающих пользователей сменить пароли учетных записей голосовой почты или вообще отключить голосовую почту для номеров мобильных телефонов.

Обновлено 26 июля 2019 г. в 12:38 по восточному стандартному времени, чтобы добавить подробную информацию о реакции The Intercept на аресты.

Обновлено 30 июля 2019 года в 13:51 по восточному стандартному времени с информацией об исправлении Telegram.

Соответствующее государственное освещение:

• АНБ создаст оборонное подразделение под названием «Управление кибербезопасности»
• Подрядчик, укравший 50 ТБ данных АНБ, получил девять лет тюрьмы
• Губернатор Луизианы объявил чрезвычайное положение в штате из-за местной вспышки вируса-вымогателя
• Взломанная база данных Болгарии теперь доступна на хакерских форумах
  
• Хакеры взломали подрядчика ФСБ, разоблачили проект деанонимизации Tor и многое другое
• Усилия по перехвату HTTPS в Казахстане нацелены на Facebook, Google, Twitter и другие
  
• Как Эстония стала локомотивом электронного правительства Техреспублика
• Шри-Ланка блокирует социальные сети после смертоносных пасхальных взрывов vrenture.com/