Telegram’dagi zaiflik bot xabarlarini kuzatish imkonini beradi.
Xavfsizlik tadqiqotchilari GoodSender zararli dasturining faolligini kuzatish uchun zaiflikdan foydalandilar.
Forcepoint xavfsizlik tadqiqotchilari Telegram Bot API’sida zararli dastur va uning operatori o‘rtasidagi trafikni ushlab qolish imkonini beruvchi zaiflikni aniqladilar. Ushbu zararli dastur oddiy .NET dasturi bo‘lgan GoodSenderdir. GoodSender buzilgan xostlardan to‘plangan ma’lumotlarni o‘z operatorlariga uzatish uchun Telegram tarmog‘idan foydalanadi va shu bilan ularga buzilgan tizimlarga masofadan ulanish imkonini beradi.
Zararli dasturni tahlil qilish jarayonida Forcepoint tadqiqotchilari Telegram Bot API uzatilayotgan xabarlar uchun zaif xavfsizlik mexanizmlaridan foydalanishini aniqladilar. Ularning so’zlariga ko’ra, foydalanuvchilar o’rtasidagi xabarlar Telegramning MTProto algoritmi yordamida TLS trafik ichida shifrlanadi, ammo Bot API xabarlari faqat HTTPS qatlami yordamida himoyalangan.
Tadqiqotchilarning tushuntirishicha, bot tomonidan ishlatiladigan API tokenlari va chat identifikatori o’rtadagi odam hujumini amalga oshirish uchun yetarli. API tokenlari Telegram Bot API’sidan foydalanadigan dasturlarda va xabarlarda mavjud, chat identifikatori esa Bot API so’rovlarida ko’rsatilgan.
«Eng yomoni, har bir xabarda yetkazilgan oz miqdordagi asosiy ma’lumotni qo’lga kirita oladigan har qanday tajovuzkor nafaqat uzatilayotgan xabarlarni kuzatishi, balki maqsadli botning butun xabar tarixini qayta tiklashi mumkin», deb xabar berishdi tadqiqotchilar.
Xabarlar tarixining to’liq qismini forwardMessage() usuli yordamida olish mumkin, bu usul bot kirish huquqiga ega bo’lgan istalgan foydalanuvchiga xabarlarni yuborishi mumkin. Xabar identifikatorlari noldan boshlab ketma-ket ro’yxatda keltirilgan. Bu sizga guruhdagi barcha xabarlarni aniqlash va ularni istalgan foydalanuvchiga yuborish imkonini beradi.
Yuqorida tavsiflangan zaiflikdan foydalanib, tadqiqotchilar barcha GoodSender aloqalarini o’zlarining Telegram profillariga yo’naltirishga va uning ishlashini o’rganishga muvaffaq bo’lishdi. Ma’lum bo’lishicha, zararli dastur muallifi ishlab chiqish va sinov muhitini operatsion muhitdan ajratmagan, bu esa mutaxassislarga GoodSender faoliyatini uning dastlabki bosqichlarigacha kuzatish imkonini bergan.
Tadqiqotchilar GoodSender qanday tarqatilishini aniq bilishmaydi, ammo zararli dastur EternalBlue zaifligini aniqlash uchun bepul skanerdan foydalanishini ta’kidlashadi. Telemetriya ma’lumotlariga ko’ra, zararli dastur hozirda kamida 120 ta zararlangan tizimda mavjud bo’lib, ularning aksariyati Qo’shma Shtatlar va Vetnamda joylashgan.
