- 19,455
- 40
- 8 Ноя 2022
Хакеры SLOVENLY COMET кошмарят латиноамериканцев новым трюком.
Несколько недель назад аргентинские пользователи начали сообщать специалистам по безопасности о Для просмотра ссылки Войдиили Зарегистрируйся взлома аккаунтов Telegram. Необычность ситуации заключалась в том, что для захвата учетных записей не требовалось никаких действий со стороны жертв. Атаки успешно проходили даже против тех, кто тщательно соблюдал базовые правила цифровой безопасности.
Расследование показало: речь идет не об отдельных инцидентах. Злоумышленники целенаправленно атаковали участников определенных групп, преимущественно связанных с криптовалютными сообществами Аргентины. Во всех случаях хакеры намеренно запускали отправку SMS с кодами двухфакторной аутентификации. После этого в журналах входа появлялись идентичные записи:
Тщательный анализ собранных данных позволил отследить первые случаи атак – они начались 7 февраля этого года. Группировке присвоили кодовое имя SLOVENLY COMET. Эксперты призывают всех, кто располагает информацией об этих злоумышленниках, написать на Для просмотра ссылки Войдиили Зарегистрируйся .
После проверки нескольких версий международная команда исследователей совместно с местными специалистами выдвинула теорию о компрометации SMS-шлюзов. Дальнейший анализ доказательств – скриншотов, системных журналов и утекших данных – подтвердил догадку. Обнаружился Telegram-бот, систематически перехватывавший сообщения с кодами аутентификации. В его архиве содержались десятки тысяч записей такого формата:
Подлинность записей специалисты подтвердили – утечка продолжалась несколько недель, оставаясь незамеченной.
Масштаб угрозы оказался значительно шире первоначальных оценок. Поскольку большинство компаний пользуются услугами нескольких крупных SMS-провайдеров, злоумышленники получили доступ к сообщениям с кодами аутентификации от множества популярных сервисов: Google, Microsoft, Apple, Telegram, Facebook, Mercadolibre, Amazon, Binance, Betfun, Instagram, TikTok, Temu и Signal. Атака затронула также региональные службы – Mercado Pago, Mi Argentina (Аргентина), Banco Formosa (Уругвай), TRANSVIP (Чили). По общим оценкам, под удар попали минимум 50 различных платформ.
Брешь обнаружилась в базовом компоненте инфраструктуры SMS-сервисов. О проблеме уведомлены все причастные организации, операторы связи и государственные структуры. Сейчас ведется расследование инцидента и разработка защитных мер.
В ближайшие дни должны появиться дополнительные подробности – затронутые компании готовят отчеты о собственных расследованиях. А пока разработчикам сервисов советуют отказаться от принудительного использования SMS для двухфакторной защиты – Для просмотра ссылки Войдиили Зарегистрируйся этого метода к атакам перехвата известна более десяти лет. Вместо этого необходимо предоставить людям выбор надежных альтернатив: приложений-аутентификаторов или аппаратных ключей.
Пользователям же рекомендуется проверить настройки безопасности на своих устройствах и сообщать о подозрительной активности в правоохранительные органы.
Несколько недель назад аргентинские пользователи начали сообщать специалистам по безопасности о Для просмотра ссылки Войди
Расследование показало: речь идет не об отдельных инцидентах. Злоумышленники целенаправленно атаковали участников определенных групп, преимущественно связанных с криптовалютными сообществами Аргентины. Во всех случаях хакеры намеренно запускали отправку SMS с кодами двухфакторной аутентификации. После этого в журналах входа появлялись идентичные записи:
Тщательный анализ собранных данных позволил отследить первые случаи атак – они начались 7 февраля этого года. Группировке присвоили кодовое имя SLOVENLY COMET. Эксперты призывают всех, кто располагает информацией об этих злоумышленниках, написать на Для просмотра ссылки Войди
После проверки нескольких версий международная команда исследователей совместно с местными специалистами выдвинула теорию о компрометации SMS-шлюзов. Дальнейший анализ доказательств – скриншотов, системных журналов и утекших данных – подтвердил догадку. Обнаружился Telegram-бот, систематически перехватывавший сообщения с кодами аутентификации. В его архиве содержались десятки тысяч записей такого формата:
Подлинность записей специалисты подтвердили – утечка продолжалась несколько недель, оставаясь незамеченной.
Масштаб угрозы оказался значительно шире первоначальных оценок. Поскольку большинство компаний пользуются услугами нескольких крупных SMS-провайдеров, злоумышленники получили доступ к сообщениям с кодами аутентификации от множества популярных сервисов: Google, Microsoft, Apple, Telegram, Facebook, Mercadolibre, Amazon, Binance, Betfun, Instagram, TikTok, Temu и Signal. Атака затронула также региональные службы – Mercado Pago, Mi Argentina (Аргентина), Banco Formosa (Уругвай), TRANSVIP (Чили). По общим оценкам, под удар попали минимум 50 различных платформ.
Брешь обнаружилась в базовом компоненте инфраструктуры SMS-сервисов. О проблеме уведомлены все причастные организации, операторы связи и государственные структуры. Сейчас ведется расследование инцидента и разработка защитных мер.
В ближайшие дни должны появиться дополнительные подробности – затронутые компании готовят отчеты о собственных расследованиях. А пока разработчикам сервисов советуют отказаться от принудительного использования SMS для двухфакторной защиты – Для просмотра ссылки Войди
Пользователям же рекомендуется проверить настройки безопасности на своих устройствах и сообщать о подозрительной активности в правоохранительные органы.
- Источник новости
- www.securitylab.ru
