„Kaspersky Lab“ tyrėjai atrado naują virusą, kuris naudojasi „nulinės dienos“ saugumo spraga „Telegram“ programoje. Šis pažeidžiamumas buvo naudojamas daugiafunkcinei kenkėjiškai programinei įrangai, kuri, priklausomai nuo kompiuterio, gali būti naudojama kaip priemonė, skirta įdiegti „kasybos“ programas. Remiantis tyrimu, nuo 2017 m. kovo mėnesio ši spraga buvo išnaudota kriptovaliutos gavybai, įskaitant „Monero“, „Zcash“ ir kt.
Socialinių žinučių programos jau seniai tapo itin svarbia mūsų gyvenimo dalimi, skirta supaprastinti ryšį su draugais ir šeima. Bet tuo pačiu metu jos gali labai apsunkinti situaciją, jeigu iškyla kibernetinės atakos grėsmė. Pavyzdžiui, praėjusį mėnesį „Kaspersky Lab“ pranešė apie pažangią mobiliąją kenkėjišką programą „Skygofree Trojan“, kuri gali pavogti „WhatsApp“ programos pranešimus. Naujausi tyrimai rodo, kad ekspertai aptiko naują, anksčiau nežinomą pažeidžiamumą kitoje populiarioje momentinių pranešimų programoje.
Remiantis atliktais tyrimais, „nulinės dienos“ spraga „Telegram“ programoje buvo pagrįsta „RLO Unicode“ metodu. Paprastai jis naudojamas koduojant kalbas, kurios parašytos iš dešinės į kairę, pvz., arabų ar hebrajų. Tačiau, ją taip pat gali naudoti kenkėjiškų programų kūrėjai, kad suklaidintų naudotojus, norėdami juos priversti atsisiųsti paslėptus kenkėjiškus failus, pavyzdžiui paveikslėlius. Užpuolikai naudojo paslėptą „Unicode“ simbolį failo pavadinime, kuris pakeitė simbolių eilę, taip pervadindamas patį failą. Todėl vartotojai atsisiųsdavo paslėptą kenkėjišką programą, kuri vėliau būdavo įdiegiama jų kompiuteriuose.
„Kaspersky Lab“ pranešė apie pažeidžiamumą „Telegram“. Žinučių siuntimo programose „nulinės dienos“ trūkumas anksčiau dar nebuvo pastebėtas.
Atliekant tyrimą „Kaspersky Lab“ ekspertai nustatė keletą scenarijų, kaip „nulinės dienos“ spraga išnaudojama kibernetinėms atakoms. Pirma, pažeidžiamumas buvo išnaudotas siekiant išplatinti kenkėjišką „kasimo“ programą, kuri gali padaryti didelę žalą vartotojams. Naudodami nukentėjusio asmens kompiuterio galią, kibernetiniai nusikaltėliai kuria skirtingas kriptovaliutas, įskaitant „Monero“, „Zcash“, „Fantomcoin“ ir kitas. Be to, analizuodami grėsmės atlikėjo serverius, „Kaspersky Lab“ tyrėjai nustatė, kad archyvuose yra „Telegram“ talpyklos, kurios buvo pavogtos iš aukų.
Antra, sėkmingai išnaudojus pažeidžiamumą, buvo įdiegtas „backdoor“, kuris naudojo „Telegram API“ kaip komandų ir valdymo protokolą, todėl įsilaužėliai gavo nuotolinę prieigą prie nukentėjusiojo kompiuterio. Po įdiegimo jis pradėjo dirbti tyliajame režime, kuris leido nusikaltėliams likti nepastebėtiems tinkle ir vykdyti skirtingas komandas, įskaitant tolesnį šnipinėjimo programų įdiegimą.
Atliekant tyrimą rasti artefaktai rodo, kad už šį išpuolį atsakingi elektroniniai nusikaltėliai – rusų kilmės.
„Greitųjų žinučių paslaugų populiarumas yra nepaprastai didelis, todėl itin svarbu, kad kūrėjai užtikrintų tinkamą jų vartotojų apsaugą, kad šie netaptų lengvu grobiu nusikaltėliams. Pastebėjome keletą šios „nulinės dienos“ spragos išnaudojimo scenarijų, kurie, be bendrojo kenkėjiškų ir šnipinėjimo programų, buvo naudojami ir „kasybos“ programinei įrangai platinti. Praėjusiais metais tokios infekcijos tapo visuotine tendencija. Be to, mes manome, kad yra ir kitų būdų piktnaudžiauti šiuo „nulinės dienos“ pažeidžiamumu“, – sakė Alexey Firsh, „Kaspersky Lab“ kenkėjiškų programų analitikas.
