Зловмисники розповсюдили шкідливе програмне забезпечення через месенджер Telegram, маскуючись під технічну підтримку застосунку для військовозобов’язаних “Резерв+”. Про це повідомила Державна служба спеціального зв’язку та захисту інформації України. А згодом з’явилася інформація, що в самому застосунку стався збій, через який деякі користувачі отримали повідомлення про “відстрочку до завершення мобілізації”. Що все це означає?
— Як тільки відбувся запуск застосунку “Резерв+”, Міноборони анонсувало декілька каналів для його технічної підтримки, зокрема й у Telegram — @reserveplusbot. Тобто користувачі могли туди звернутися у разі, якщо після встановлення застосунку, наприклад, не підтягувалася якась інформація, — розповідає Костянтин Корсун, експерт з кібербезпеки. — Чимало людей переходили за посиланням у Telegram-бот та підписувалися на нього. Але згодом застосунок “Резерв+” перестав використовувати цей Telegram-канал. Невідомо, що саме сталося: чи його одразу зламали, чи він від самого початку належав приватним особам, а не Міноборони, цього ми не знаємо. Існують різні версії, коли й чому він перестав бути офіційним каналом техпідтримки. Але факт залишається фактом: цим скористалися зловмисники.
— Що маєте на увазі?
— Про те, що Міноборони більше не використовує Telegram для технічної підтримки “Резерв+”, користувачів застосунку попередити “забули”. І їм надійшло повідомлення про необхідність завантаження файлу REZERVPLUS.zip “для коректного внесення змін до реєстру”. Тобто користувачі, які були впевнені, що підписані на офіційний Telegram-канал технічної підтримки, отримали інструкцію для виправлення відображення своїх даних у базі “Оберіг”.
Текст повідомлення у боті був майстерно складений з психологічної точки зору: “Ти встановив “Резерв+”, але сумніваєшся, чи правильно твої дані внесені до реєстрації? Тоді переходь за посиланням”. Нічого не запідозривши, користувачі натиснули на файл, адже були впевнені, що це офіційна вказівка.
— I що далі?
— Технічний аналіз показав, що цей шкідливий файл належить до класу stealer (від англійського слова steal — красти). Він викрадає усю інформацію користувачів. Тому інформація на девайсах усіх, хто, отримавши повідомлення начебто з офіційного Telegram-каналу, натиснув на шкідливе ПЗ, є скомпрометованою або викраденою. Думаю, мова йде щонайменше про тисячі користувачів, і хто знає, яка інформація була в них на телефонах і на комп’ютерах. Адже зловмисники могли атакувати таким чином і службові комп’ютери, наприклад, якихось держустанов.
— Хто за цим стоїть?
— Хакерська група, відома під назвою DaVinci Group (“UAC-0050” за українською класифікацією), яка спеціалізується на кібершпигунстві й тісно співпрацює зі спецслужбами РФ. Без сумніву, російські спецслужби зацікавлені в зборі інформації щодо військовозобов’язаних, резервістів, призовників, для яких і працює “Резерв+”. Яку саме інформацію отримали зловмисники та як вони її використають проти нас, ми не знаємо. Але не сумніваюся, що вони точно це зроблять.
— Чи можна говорити, що хакнули і сам “Резерв+”?
— Ознак зламу самого застосунку я не бачу. Але професіонали з кібербезпеки кажуть, що зламати можна що завгодно — це лише питання часу й грошей. А репутація “Резерв+” з самого початку була дуже сумнівною. Він був створений на основі застосунку для школярів “Мрія” дуже й дуже швидко, під певну дату, і розроблявся без урахування вимог безпеки, за найгіршими IT-практиками.
— А поява у “Резерв+” “відстрочок від мобілізації” — це наслідки технічного збою, як зазначило Міноборони, чи...?
— У Міноборони визнали свою помилку, але що саме її спричинило — не пояснили. Можливо, це атака на внутрішню локальну мережу чи вірус. Хоча прямих свідчень взаємозв’язку дій хакерів і збою у застосунку я не бачу, але нічого не виключаю.
І ще одне. Усі ми знаємо, що за розробкою “Резерв+” стоїть заступниця міністра оборони з питань цифровізації Катерина Черногоренко. У нормальній, цивілізованій, демократичній країні особу, відповідальну за розробку такого проблемного застосунку і його взаємодію з російським Telegram, що призвело до таких наслідків, вже давно було би звільнено з посади. У нас же будуть виправдовуватися: “це ж кібератака”, “це ж русня”, “таке трапляється”...
Але ж саме розробники підключили до надкритичного військово-мобілізаційного застосунку неконтрольований ними Telegram-бот. До того ж сама платформа Telegram з великою ймовірністю контролюється ворогом повністю або частково.
— Чи може повторитися аналогічний сценарій з іншими офіційними Telegram-ботами чи каналами?
— Впевнений, що так. Такі випадки вже траплялися і раніше: офіційні Telegram-боти та канали техпідтримки неодноразово піддавалися зламам. Тому виникає важливіше питання: як довго в Україні існуватимуть офіційні Telegram-канали? Скільки часу наші органи влади ще будуть просувати та рекламувати потенційно небезпечний продукт, який вони фактично не можуть контролювати?
