Telegram, Instagram, TikTok в одном котле: бот-перехватчик SMS рыскает в чужих аккаунтах

Несколько недель назад аргентинские пользователи начали сообщать специалистам по безопасности о странных случаях взлома аккаунтов Telegram. Необычность ситуации заключалась в том, что для захвата учетных записей не требовалось никаких действий со стороны жертв. Атаки успешно проходили даже против тех, кто тщательно соблюдал базовые правила цифровой безопасности.

Расследование показало: речь идет не об отдельных инцидентах. Злоумышленники целенаправленно атаковали участников определенных групп, преимущественно связанных с криптовалютными сообществами Аргентины. Во всех случаях хакеры намеренно запускали отправку SMS с кодами двухфакторной аутентификации. После этого в журналах входа появлялись идентичные записи:

Тщательный анализ собранных данных позволил отследить первые случаи атак – они начались 7 февраля этого года. Группировке присвоили кодовое имя SLOVENLY COMET. Эксперты призывают всех, кто располагает информацией об этих злоумышленниках, написать на tips-slovenly-comet@securityalliance.org .

После проверки нескольких версий международная команда исследователей совместно с местными специалистами выдвинула теорию о компрометации SMS-шлюзов. Дальнейший анализ доказательств – скриншотов, системных журналов и утекших данных – подтвердил догадку. Обнаружился Telegram-бот, систематически перехватывавший сообщения с кодами аутентификации. В его архиве содержались десятки тысяч записей такого формата:

Подлинность записей специалисты подтвердили – утечка продолжалась несколько недель, оставаясь незамеченной.

Масштаб угрозы оказался значительно шире первоначальных оценок. Поскольку большинство компаний пользуются услугами нескольких крупных SMS-провайдеров, злоумышленники получили доступ к сообщениям с кодами аутентификации от множества популярных сервисов: Google, Microsoft, Apple, Telegram, Facebook, Mercadolibre, Amazon, Binance, Betfun, Instagram, TikTok, Temu и Signal. Атака затронула также региональные службы – Mercado Pago, Mi Argentina (Аргентина), Banco Formosa (Уругвай), TRANSVIP (Чили). По общим оценкам, под удар попали минимум 50 различных платформ.

Брешь обнаружилась в базовом компоненте инфраструктуры SMS-сервисов. О проблеме уведомлены все причастные организации, операторы связи и государственные структуры. Сейчас ведется расследование инцидента и разработка защитных мер.

В ближайшие дни должны появиться дополнительные подробности – затронутые компании готовят отчеты о собственных расследованиях. А пока разработчикам сервисов советуют отказаться от принудительного использования SMS для двухфакторной защиты – уязвимость этого метода к атакам перехвата известна более десяти лет. Вместо этого необходимо предоставить людям выбор надежных альтернатив: приложений-аутентификаторов или аппаратных ключей.

Пользователям же рекомендуется проверить настройки безопасности на своих устройствах и сообщать о подозрительной активности в правоохранительные органы.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.