Чи дійсно вчора хакнули Резерв+
Вчора користувачам додатку Резерв+ почали надходити повідомлення з офіційного (!) Телеграм-каналу додатку РезервХрест із проханням завантажити файл REZERVPLUS.zip «для коректного внесення змін до реєстру». Бо ж усі знають, що коректність внесення змін до Оберігу – це давно відома проблема. Тому pretext був підібраний психологічно грамотно: ти встановив собі РезервХрест, але сумніваєшся, «чи точно мої дані внесені в реєстр коректно?». І ось з офіційного (!) ТГ-бота приходить файл, який точно виправить цю проблему та розвіє сумніви.
Що сталося насправді?
Група хакерів угнала ТГ-бота, якого сам Резерв+ визначив як «офіційного». І потім розіслали усім користувачам шкідливе ПЗ (malware), яке викрадало усю інформацію (клас stealer, модель Medusa Stealer). Після викрадення зі смартфону всього, що можна, ця какашка самовидаляється. При цьому більшість користувачів не здогадуються, що відбувається щось погане, і що вся інформація з їхнього смартфону вже викрадена. Можливо, хтось про це здогадається, лише прочитавши цей допис.
Ця хакерська група відома під назвою DaVinci Group («UAC-0050» за українською класифікацією) і спеціалізується на кібер-шпигунстві. Використовує давно відомі інструменти: LunaStealer, RemcosRAT, різні дропери, а також MedusaStealer. Останній якраз і був використаний у атаці на користувачів Резерв+.
Зазначена група відноситься до категорії так званих «спонсорованих державою» (state sponsored) і спеціалізується на викраденні інформації саме із українських органів влади. На кого працює і хто їм платить? А здогадайтеся з двох разів.
У мене язик не повертається звинувачувати тих користувачів РезервХрест, які стали жертвою цієї атаки та завантажили цей файл. Оскільки вони довірилися офіційному ресурсу, тому автоматично вважають легітимним усе, що з нього надходить. Як свого часу сталося з Медком, – тоді було хакнуто офіційний канал оновлення продукту.
Коли вчора користувачі почали масово скаржитися на підозрілий файл, команда розробників із МОУ зрозуміла, що це атака, і тому швиденько видалили у себе на сторінці посилання на цей скомпрометований ТГ-канал. На цьому реакція на інцидент і обмежилася – прикрили свою власну сраку.
Коли почали звучати звинувачення на адресу заступниці міністра оборони, яка відповідальна за РезервХрест, то її відповідь була наступною, дослівно: «Застосунок Резерв+ не має ботів чи сторінок в Телеграмі. Це шахрайство». Кінець цитати.
Той факт, що анонс запуску Резерва містив посилання на офіційній канали у Телезі ще у травні 2024, і на це є приблизно тисяча скриншотів та веб-архівів, – пох, це все брехня, вивсьоврьоті.
То може і техпідтримки Дії не було у Телеграмі? І «офіційних ТГ-каналів», лише яким і можна довіряти? Може, і «шашликів у травні» не було, і «справи вагнерівців», а Червінський не сидів у тюрмі більше року ні за що? Хоча стоп, це трохи інша тема.
Краще повернемося до Резерв+ і вчорашнього інциденту.
Чи можна сказати, що додаток Резерв+ був хакнутий внаслідок цієї атаки? Формально ні. Було хакнуто ТГ-канал, який команда розробників з МОУ рекламували як «офіційний».
Чи було інфіковано тисячі (можливо, більше) користувачів Резерв+ внаслідок безвідповідального ставлення до архітектури додатку? Так, безперечно. І це ще ми не знаємо точну кількість уражених девайсів і кількість повторних «ланцюгових» уражень через контакти та контакти контактів.
Чи є причиною інфікування тисяч військовозобов’язаних, призовників і резервістів додаток РезервХрест? Так, однозначно. Він послужив «точкою входу» для зловмисників, найслабшою ланкою. Люди ще у момент релізу підписалися на «офіційний ТГ-бот», а яка його подальша доля, чи він вже не є офіційним, – не знають і не можуть знати. Вони слухняно зробили все, як було сказано МОУ відпочатку та підписалися на ТГ-бот техпідтримки.
Чи винуваті розробники у цьому інциденті? Категорично «так». Це вони прикрутили до супер-критичного військово-мобілізаційного додатку неконтрольованого ними Телеграм-бота. При тому що сама платформа Телеграм з великою вірогідність контролюється ворогом повністю або частково. І розробники Резерв+ не в змозі видалити якийсь канал, який з якихось причин перестав бути «дружнім», – це може зробити або сам власник каналу, або адміністрація Telegram.
Чи призвів цей інцидент до катастрофічних наслідків для національної безпеки? Не знаю. Залежить від обсягів і критичності викраденої ворогом інформації.
Чи нанесено велику шкоду військовозобов’язаним громадянам? Так, нанесено: їхню інформацію отримав ворог, і хтозна, як вона буде використана у подальшому.
Чи мусить хтось за це понести відповідальність? У демократичній країні – однозначно.
Чи понесе хтось за це відповідальність в Україні часів М. Федорова? Ні в якому разі, забудьте.
Чи повториться аналогічний сценарій з іншими «офіційними ТГ-ботами чи ТГ-каналам»? І до ворожки не ходи. Тим більше що «це ж було вже»: офіційні ТГ-боти та ТГ-канали техпідтримки вже неодноразово зламували.
До речі, нагадаю: коли хтось стверджує, що неможливо щось хакнути, – це вірна ознака повного профана. Будь-який фахівець з кібербезпеки твердо знає, що теоретично хакнути можна що завгодно. Питання лише у часі, ресурсах та мотивації виконавця.
Але тут виникає інше, важливіше питання: а допоки в Україні будуть існувати «офіційні ТГ-канали»? Допоки офіційні органи влади будуть просувати та рекламувати відверто ворожий продукт, який вони фізично не в змозі контролювати? Вже ж був випадок, коли раптово вимкнулися «офіційні ТГ-канали» півтора десятку органів держвлади, у тому числі канали ГУРМО, СБУ та МЦТ.
Як на мене, у країні, яка веде криваву війну за виживання проти країни-розробниці Телеграму, все це дуже смердить державною зрадою.
UPD: Той факт, що шкідливий файл мав розширення *.ехе зовсім не виключає небезпеки для смартфонів: повідомлення приходило на смартфони, де встановлено Телеграм, потім завантажується дропер, який потім підтягує стілер. Наявність на смартфоні дропера дозволяє завантажувати що завгодно на смартфон. Ну, і щоб завантажити пейлоад на компьютер, потрібно відкрити Телеграм на лептопі/десктопі та синхронізуватися, що містить додаткові ризики для смартфону.
