האקרים ניצלו פירצה בטלגרם להפיץ נוזקת כריה למטבעות קריפטוגרפיים

נחשפה מתקפה שפעלה עד נובמבר האחרון, שבוצעה באמצעות נוזקה חדשה, המנצלת פרצת יום אפס בגרסת המחשב של אפליקציית טלגרם (Telegram).

חוקרי מעבדת קספרסקי (Kaspersky Lab) שחשפו את המתקפה, אמרו כי הפירצה משמשת כדי להחדיר למחשב נוזקה רבת יכולות, אשר בהתאם למחשב בו הוא מופעל, יכולה לשמש כדלת אחורית, או ככלי להפעלת תוכנת כריה. על פי המחקר, הפירצה נוצלה מאז מרץ 2017 לצורך כריית מטבעות קריפטוגרפיים.

על פי המחקר, פירצת יום האפס שהתגלתה בטלגרם, התבססה על שיטת ROL (ר"ת right-to-left override) ל-Unicode. השיטה משמשת בדרך כלל לקידוד שפות הנכתבות מימין לשמאל, כגון עברית וערבית. עם זאת, היא גם שימשה את יוצרי הנוזקה כדי להטעות משתמשים ולהוביל אותם להורדת קבצי קוד זדוני מחופשים, לדוגמה, כתמונות.

התוקפים הסתירו בשם הקובץ תווי Unicode, אשר הפכו את הסדר של התווים, ובכך שינו את שם הקובץ עצמו. כתוצאה מכך, משתמשים הורידו קוד זדוני נסתר, אשר הותקן לאחר מכן במחשבים שלהם. חוקרי ענקית האבטחה הרוסית דיווחו על הפירצה לטלגרם, ובעקבות זאת, פירצת יום האפס לא נצפתה יותר במוצרי החברה.

במהלך הניתוח שלהם, מומחי מעבדת קספרסקי זיהו כמה תרחישי פריצה שהופעלו בשטח מצד ההאקרים. הפירצה נוצלה בעיקר כדי להחדיר נוזקה לכרייה, אשר עלולה להיות מזיקה מאוד למשתמשים. באמצעות שימוש בעוצמת המחשוב של הקורבן, עברייני הסייבר כרו סוגים שונים של מטבע קריפטוגרפי, כגון Monero ,Zcash ,Fantomcoin ואחרים. במהלך ניתוח השרתים של אחת מקבוצות התקיפה, החוקרים מצאו ארכיב, המכיל קבצי cache לוקליים של טלגרם, אשר נגנבו מהקורבנות.

בנוסף, עם ניצול מוצלח של הפירצה, הותקנה במחשב דלת אחורית המשתמשת ב-API של טלגרם, כפרוטוקול לפיקוד ושליטה. דלת אחורית זו מספקת להאקר גישה מרחוק למחשב הקורבן – אחרי התקנה היא מתחילה לפעול במצב שקט, המאפשר לתוקף להימנע מחשיפה ברשת ולהפעיל פקודות שונות, כולל התקנות נוספות של רוגלות.

ההאקרים – ממקור רוסי

הממצאים שהתגלו במהלך המחקר מצביעים על עברייני הסייבר ממקור רוסי. אלכסיי פירש, אנליסט קוד זדוני, מחקר התקפות ממוקדות, מעבדת קספרסקי, אמר כי "הפופולריות של שירותי מסרים מידיים היא אדירה, וחשוב ביותר שמפתחים יספקו הגנה מתאימה למשתמשים שלהם, כך שלא יהפכו למטרות קלות לעבריינים".

לדבריו, "מצאנו כמה תרחישים לפירצת יום האפס הזו, אשר שימשו, בין היתר, כדי להחדיר קוד זדוני לכריה – סוג של הדבקה שהפכה למגמה עולמית, אשר צמחה ב-2017. יותר מכך, אנו מאמינים כי היו דרכים אחרות לנצל את פירצת יום האפס".

טלגרם מדורגת תשיעית בין אפליקציות המסרים המידיים, וצפויה להגיע ל-200 מיליון משתמשים ברבעון הראשון השנה. בהצהרה שטלגרם פרסמה בערוץ הטכני שלה, היא ציינה כי "המתקפה היא סוג של הנדסה חברתית", וכי הנוזקה הצליחה לפעול רק אם המשתמשים – שתומרנו להוריד קובץ של תמונה – עשו זאת.