Исследователи обнаружили серьезную уязвимость в популярном мессенджере Telegram. Уязвимость была найдена в Telegram Bot API. Фактически, исследователи также обнаружили, что API заражен вредоносным ПО GoodSender. Telegram ещё не дал никакого ответа по этой теме.
Уязвимость API-интерфейса Telegram Bot
Как сообщалось, недавно исследователи из Forcepoint Security Labs обнаружили недостаток API Telegram Bot, который ведет к нарушению конфиденциальности. Использование этой уязвимости может позволить получить доступ ко всем сообщениям, которые отправляет и получает бот. Предположительно эта уязвимость связана с методом шифрования Telegram Bot API.
Согласно Forcepoint, Telegram использует шифрование MTProto для обычных сообщений. Однако в случае с API-интерфейсами для ботов, все сообщения защищаются только с помощью TLS. Таким образом, злоумышленник может потенциально выполнить MITM-атаки на HTTPS цели, чтобы перехватить сообщения. Все, что нужно, – это получить и использовать определенные фрагменты информации, например токены, которые передаются Bot API.
При обсуждении одного из таких методов, исследователи заявили:
«Тот, кто владеет данными фрагментами информации, может использовать ряд методов, которые можно вызвать из API бота. В нашем случае метод forwardMessage() особенно полезен, поскольку он позволяет пересылать любое сообщение из любого чата, к которому у данного бота есть доступ, произвольному пользователю Telegram. Для этого нам нужен токен API и «исходный» chat_id(либо извлеченный из предыдущих сообщений, отправленных ботом, либо, в случае вредоносного ПО, из бинарного файла) – вместе с «целевым» chat_id (который является нашим собственным идентификатор пользователя) и, наконец, идентификатор сообщения, которое мы хотели бы переслать ».
Хакер может просто использовать эту уязвимость с помощью вредоносного ПО. Фактически, исследователи обнаружили, что вредоносное ПО активно использует уязвимость и использует API бота в качестве канала управления и контроля(C2). Исследовали заявили, что это «GoodSender» – вредоносное ПО для Windows, которое существует уже более года.
О вредоносном ПО «GoodSender»
Как указывается в их отчете, Forcepoint обнаружил вредоносные программы в процессе поиска возможности обхода шифрования Telegram. Они обнаружили так называемый «GoodSender», вредоносную программу, которая написана с помощью технологии .NET, которая широко используется в языке программирования C#, использующую API Telegram бота в качестве канала C&C для получения доступа к сообщениям. Объясняя, как это работает, они заявили:
«После удаления вредоносной программы создается новый пользователь-администратор, включается удаленный доступ, а также обеспечивается защита от брандмауэра. Имя пользователя для нового администратора является статическим, но пароль генерируется случайным образом. Вся эта информация (имя пользователя, пароль и IP-адрес) отправляется оператору через мессенджер Telegram, что обеспечивает оператору доступ к компьютеру жертвы через RDP».
Что касается вектора, который используется для внедрения вредоносного ПО, Forcepoint считают, что, возможно, использовался EternalBlue. Возможно, хакер уже сканировал несколько IP-адресов США и Вьетнама и имеет список уязвимых компьютеров. Исследователи также выяснили, что активность в большей степени наблюдается в США.
Хотя они уже сообщили Telegram об этой уязвимости, ответа ещё нет. Поэтому, пока не будет выпущен патч, исследователи рекомендуют пользователям Telegram избегать использования ботов.
5