Το τμήμα έρευνας της Check Point Software Technologies, Check Point Research (CPR) προειδοποιεί για μια αυξανόμενη απειλή στον κυβερνοχώρο, όπου οι χάκερ χρησιμοποιούν το Telegram, την εφαρμογή άμεσων μηνυμάτων με πάνω από 500 εκατομμύρια ενεργούς χρήστες, ως σύστημα διοίκησης και ελέγχου για την απομακρυσμένη διανομή κακόβουλου λογισμικού σε έναν οργανισμό. Η προειδοποίηση έρχεται μετά τον εντοπισμό από την CPR πάνω από 130 επιθέσεις στον κυβερνοχώρο που χρησιμοποίησαν κακόβουλο λογισμικό το οποίο διαχειρίστηκαν οι hackers μέσω του Telegram τους τελευταίους τρεις μήνες. Οι hackers συνέχισαν να διαδίδουν το κακόβουλο λογισμικό καλύπτοντάς το πίσω από συνημμένα μηνύματα ηλεκτρονικού ταχυδρομείου, με αποτέλεσμα τον έλεγχο του συστήματος αρχείων, τη διαρροή δεδομένων και την εγκατάσταση ransomware στους παραλήπτες. 
 

  • Το σύστημα επιτρέπει στους χάκερς να στέλνουν κακόβουλες εντολές και λειτουργίες από απόσταση μέσω της εφαρμογής άμεσων μηνυμάτων, ακόμη και αν το Telegram δεν είναι εγκατεστημένο ή δεν χρησιμοποιείται
  • Ο hacker ξεκινά με τη δημιουργία ενός λογαριασμού Telegram και ενός ειδικού bot “Telegram”
  • Στη συνέχεια, το κακόβουλο λογισμικό διαδίδεται μέσω εκστρατειών spam μέσω ηλεκτρονικού ταχυδρομείου ως συνημμένο email. Ένα παράδειγμα ονόματος αρχείου που βρήκε η CPR ήταν το ‘paypal checker by saint.exe’
  • Η CPR μοιράζεται βασικές δυνατότητες των πρόσφατων επιθέσεων που βρήκε, καθώς και συμβουλές ασφαλείας για τους οργανισμούς ώστε να προστατευτούν
  • Το Telegram συγκαταλέγεται στις 10 πιο δημοφιλείς εφαρμογές με τις περισσότερες λήψεις παγκοσμίως, ξεπερνώντας τα 500 εκατομμύρια ενεργούς χρήστες
     

Η Check Point Research (CPR) προειδοποιεί για μια αυξανόμενη απειλή στον κυβερνοχώρο, όπου οι χάκερ χρησιμοποιούν το Telegram, την εφαρμογή άμεσων μηνυμάτων με πάνω από 500 εκατομμύρια ενεργούς χρήστες, ως σύστημα διοίκησης και ελέγχου για τη διανομή κακόβουλου λογισμικού σε οργανισμούς. Ακόμη και όταν το Telegram δεν είναι εγκατεστημένο ή δεν χρησιμοποιείται, το σύστημα επιτρέπει στους hacker να στέλνουν κακόβουλες εντολές και λειτουργίες από απόσταση μέσω της εφαρμογής άμεσων μηνυμάτων. Οι παραλήπτες του κακόβουλου λογισμικού υποβάλλονται σε:

  • έλεγχος του συστήματος αρχείων (αρχεία και διεργασίες μπορούν να διαγραφούν)
  • διαρροή δεδομένων (clipboard, ήχος και βίντεο)
  • κρυπτογράφηση αρχείων (εγκατάσταση ransomware)
     

Η προειδοποίηση της CPR έρχεται μετά τον εντοπισμό περισσότερων από 130 επιθέσεων στον κυβερνοχώρο τους τελευταίους τρεις μήνες που χρησιμοποίησαν ένα trojan απομακρυσμένης πρόσβασης (RAT) με την ονομασία “ToxicEye”. Το RAT είναι ένας τύπος κακόβουλου λογισμικού που παρέχει στον hacker πλήρη απομακρυσμένο έλεγχο του συστήματός σας. Το ToxicEye διαχειρίζεται από τους hackers μέσω του Telegram, επικοινωνεί με τον διακομιστή του hacker και στέλνει δεδομένα σε αυτόν. Το ToxicEye εξαπλώνεται τελικά μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου phishing που περιέχουν ένα κακόβουλο αρχείο .exe. Αφού ο παραλήπτης ανοίξει το συνημμένο αρχείο, το ToxicEye εγκαθίσταται στον υπολογιστή του θύματος, εκτελώντας μια σειρά από εντολές εν αγνοία του θύματος.
 

Κίνδυνοι του Telegram RAT
 

Κάθε RAT που χρησιμοποιεί αυτή τη μέθοδο έχει τη δική του λειτουργικότητα, αλλά η CPR μπόρεσε να εντοπίσει έναν αριθμό βασικών δυνατοτήτων που χαρακτηρίζουν τις περισσότερες από τις πρόσφατες επιθέσεις που παρατηρήθηκαν:

  • Χαρακτηριστικά κλοπής δεδομένων – το RAT μπορεί να εντοπίσει και να κλέψει κωδικούς πρόσβασης, πληροφορίες σχετικά με τον υπολογιστή, ιστορικό προγράμματος περιήγησης και cookies.
  • Έλεγχος του συστήματος αρχείων – Διαγραφή και μεταφορά αρχείων ή τερματισμός διεργασιών του υπολογιστή και τον έλγχο διαχείρισης εργασιών του υπολογιστή
  • Παραβίαση εισόδου / εξόδου – το RAT μπορεί να αναπτύξει ένα keylogger ή να καταγράψει ήχο και βίντεο από το περιβάλλον του θύματος μέσω του μικροφώνου και της κάμερας του υπολογιστή ή να παραβιάσει τα περιεχόμενα στο clipboard
  • Χαρακτηριστικά Ransomware – δυνατότητα κρυπτογράφησης και αποκρυπτογράφησης των αρχείων του θύματος

Αλυσίδα μόλυνσης
 

Η Check Point περιγράφει την διαδικασία επίθεσης ως εξής:

1.       Ο επιτιθέμενος δημιουργεί πρώτα έναν λογαριασμό Telegram και ένα ειδικό bot “Telegram”. Ένας λογαριασμός bot στο Telegram είναι ένας ειδικός απομακρυσμένος λογαριασμός όπου οι χρήστες μπορούν να αλληλεπιδρούν μέσω συνομιλίας στο Telegram, ή προσθέτοντάς τους σε ομάδες του Telegram, ή στέλνοντας αιτήματα απευθείας από το πεδίο εισαγωγής πληκτρολογώντας το όνομα χρήστη του bot στο Telegram και ένα ερώτημα.

2.       Το token του bot συνοδεύεται από το επιλεγμένο κακόβουλο λογισμικό.

3.       Το κακόβουλο λογισμικό διαδίδεται μέσω εκστρατειών spam μέσω ηλεκτρονικού ταχυδρομείου ως συνημμένο email. Ένα παράδειγμα ονόματος αρχείου που βρήκε η CPR ήταν το ‘paypal checker by saint.exe’.

4.       Το θύμα ανοίγει το κακόβουλο συνημμένο αρχείο το οποίο συνδέεται με το Telegram. Κάθε θύμα που έχει μολυνθεί με αυτό το κακόβουλο φορτίο μπορεί να δεχτεί επίθεση μέσω του bot του Telegram, το οποίο συνδέει τη συσκευή του χρήστη ξανά με το C&C του επιτιθέμενου μέσω του Telegram.

5.       Ο επιτιθέμενος αποκτά πλήρη έλεγχο του θύματος και μπορεί να εκτελέσει μια σειρά από κακόβουλες δραστηριότητες
 

Γιατί οι hackers στοχεύουν το Telegram
 

Η τελευταία έρευνα της CPR αποκαλύπτει μια αυξανόμενη τάση στη δημοτικότητα του κακόβουλου λογισμικού που διανέμται μέσω του Telegram και συνδέεται με την αυξανόμενη χρήση της υπηρεσίας ανταλλαγής μηνυμάτων παγκοσμίως. Δεκάδες νέοι τύποι κακόβουλου λογισμικού με βάση το Telegram, έχουν βρεθεί ως “έτοιμα” όπλα σε αποθετήρια εργαλείων hacking στο GitHub. Οι εγκληματίες του κυβερνοχώρου βρίσκουν το Telegram ως αναπόσπαστο μέρος των επιθέσεών τους λόγω μιας σειράς λειτουργικών πλεονεκτημάτων, όπως:
 

  • Το Telegram είναι μια νόμιμη, εύχρηστη και σταθερή υπηρεσία που δεν μπλοκάρεται από τις μηχανές προστασίας από ιούς των επιχειρήσεων, ούτε από εργαλεία διαχείρισης δικτύου.
  • Διατηρεί την ανωνυμία. Οι επιτιθέμενοι μπορούν να παραμείνουν ανώνυμοι, καθώς η διαδικασία εγγραφής απαιτεί μόνο έναν αριθμό κινητού τηλεφώνου
  • Εύκολη διαρροή. Τα μοναδικά χαρακτηριστικά επικοινωνίας του Telegram σημαίνουν ότι οι επιτιθέμενοι μπορούν εύκολα να εξαφανίσουν δεδομένα από τους υπολογιστές των θυμάτων ή να μεταφέρουν νέα κακόβουλα αρχεία σε μολυσμένα μηχανήματα
  • Από οποιαδήποτε τοποθεσία. Το Telegram επιτρέπει επίσης στους επιτιθέμενους να χρησιμοποιούν τις κινητές συσκευές τους για να έχουν πρόσβαση σε μολυσμένους υπολογιστές από σχεδόν οποιαδήποτε τοποθεσία παγκοσμίως.
     

 Idan Sharabi, R&D Group Manager at Check Point Software Technologies δήλωσε σχετικά: «Έχουμε ανακαλύψει μια αυξανόμενη τάση όπου οι συγγραφείς κακόβουλου λογισμικού χρησιμοποιούν την πλατφόρμα Telegram ως ένα έτοιμο σύστημα εντολών και ελέγχου για τη διανομή κακόβουλου λογισμικού σε οργανισμούς. Αυτό το σύστημα επιτρέπει στο κακόβουλο λογισμικό που χρησιμοποιείται να λαμβάνει εντολές και λειτουργίες εξ αποστάσεως χρησιμοποιώντας την υπηρεσία του Telegram, ακόμη και αν το Telegram δεν είναι εγκατεστημένο ή δεν χρησιμοποιείται. Το κακόβουλο λογισμικό που χρησιμοποίησαν οι hackers εδώ είναι εύκολα  προσβάσιμο σε μέρη όπως το Github. Πιστεύουμε ότι οι επιτιθέμενοι εκμεταλλεύονται το γεγονός ότι το Telegram χρησιμοποιείται και επιτρέπεται σχεδόν σε όλους τους οργανισμούς, χρησιμοποιώντας αυτό το σύστημα για την εκτέλεση κυβερνοεπιθέσεων, οι οποίες μπορούν να παρακάμψουν τους περιορισμούς ασφαλείας.
 

Προτρέπουμε τους οργανισμούς και τους χρήστες του Telegram να έχουν επίγνωση των κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου και να είναι πιο καχύποπτοι με μηνύματα ηλεκτρονικού ταχυδρομείου που ενσωματώνουν το όνομα χρήστη τους στο θέμα ή μηνύματα ηλεκτρονικού ταχυδρομείου με σπασμένη γλώσσα. Δεδομένου ότι το Telegram μπορεί να χρησιμοποιηθεί για τη διανομή κακόβουλων αρχείων ή ως κανάλι εντολών και ελέγχου απομακρυσμένα του κακόβουλου λογισμικού, αναμένουμε ότι στο μέλλον θα συνεχίσουν να αναπτύσσονται πρόσθετα εργαλεία που εκμεταλλεύονται αυτή την πλατφόρμα»

Συμβουλές ασφάλειας
 

  1. Αναζητήστε ένα αρχείο με όνομα C:UsersToxicEyerat.exe – αν αυτό το αρχείο υπάρχει στον υπολογιστή σας, έχετε μολυνθεί και πρέπει να επικοινωνήσετε αμέσως με το helpdesk και να διαγράψετε αυτό το αρχείο από το σύστημά σας.
  2. Παρακολουθήστε την κίνηση που παράγεται από υπολογιστές του οργανισμού σας προς ένα C&C του Telegram – εάν ανιχνευθεί τέτοια κίνηση και το Telegram δεν είναι εγκατεστημένο ως enterprise λύση, αυτό αποτελεί πιθανή ένδειξη παραβίασης.
  3.  Προσοχή στα συνημμένα αρχεία που περιέχουν ονόματα χρηστών: τα κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου χρησιμοποιούν συχνά το όνομα χρήστη σας στη γραμμή θέματος ή στο όνομα αρχείου του συνημμένου αρχείου. Αυτά υποδηλώνουν ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου: διαγράψτε τέτοια μηνύματα και μην ανοίξετε ποτέ το συνημμένο αρχείο ούτε να απαντήστε στον αποστολέα.
  4. Ψάξτε για παραλήπτες που δεν έχουν αποκαλυφθεί ή δεν έχουν καταχωρηθεί στον κατάλογο – εάν ο παραλήπτης του ηλεκτρονικού ταχυδρομείου δεν έχει ονόματα ή τα ονόματα δεν έχουν καταχωρηθεί ή δεν έχουν αποκαλυφθεί – αυτό είναι μια καλή ένδειξη ότι αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου είναι κακόβουλο ή/και ένα μήνυμα ηλεκτρονικού “ψαρέματος”.
  5. Προσέχετε πάντα τη γλώσσα του ηλεκτρονικού ταχυδρομείου – Οι τεχνικές κοινωνικής μηχανικής έχουν σχεδιαστεί για να εκμεταλλεύονται την ανθρώπινη φύση. Αυτό περιλαμβάνει το γεγονός ότι οι άνθρωποι είναι πιο πιθανό να κάνουν λάθη όταν βιάζονται και τείνουν να ακολουθούν τις εντολές ανθρώπων που βρίσκονται σε θέσεις εξουσίας. Οι επιθέσεις ηλεκτρονικού “ψαρέματος” χρησιμοποιούν συνήθως αυτές τις τεχνικές για να πείσουν τους στόχους τους να αγνοήσουν τις πιθανές υποψίες τους σχετικά με ένα μήνυμα ηλεκτρονικού ταχυδρομείου και να κάνουν κλικ σε έναν σύνδεσμο ή να ανοίξουν ένα συνημμένο αρχείο.
  6. Ανάπτυξη αυτοματοποιημένης λύσης κατά του phishing – Η ελαχιστοποίηση του κινδύνου επιθέσεων phishing για τον οργανισμό απαιτεί λογισμικό κατά του phishing που βασίζεται σε τεχνητή νοημοσύνη και είναι ικανό να εντοπίζει και να αποκλείει το περιεχόμενο phishing σε όλες τις υπηρεσίες επικοινωνίας του οργανισμού (ηλεκτρονικό ταχυδρομείο, εφαρμογές παραγωγικότητας κ.λπ.) και τις πλατφόρμες (σταθμοί εργασίας των εργαζομένων, κινητές συσκευές κ.λπ.). Αυτή η ολοκληρωμένη λύση είναι απαραίτητη, καθώς το περιεχόμενο phishing μπορεί να έρθει μέσω οποιουδήποτε μέσου και οι εργαζόμενοι μπορεί να είναι πιο ευάλωτοι σε επιθέσεις όταν χρησιμοποιούν κινητές συσκευές.