07/10/20
Порядка двадцати руководителей криптовалютных бирж из Израиля стали жертвами киберпреступников. В начале прошлого месяца злоумышленники взломали их телефоны, похитили все персональные данные и стали отправлять их контактам сообщения с просьбой перевести деньги.
Как сообщает издание Haaretz, за кибератакой, в результате которой никакие денежные средства похищены не были, могут стоять хакеры, работающие на правительство.
Действующими лицами в расследовании кибератаки стали крупная телекоммуникационная компания, ИБ-фирма Pandora Security и даже служба безопасности Израиля Шин-Бет. К расследованию инцидента также было привлечено Национальное управление по кибербезопасности и Моссад.
Все началось 7 сентября нынешнего года, когда сооснователь фирмы Pandora Security, занимающейся защитой высшего руководства компаний, Тцахи Ганот сообщил, что у них появился «новый клиент». Им оказался заместитель финансового директора некой компании, пожаловавшийся на то, что ночью его мобильный телефон был взломан, и учетные записи в Telegram и других сервисах могли быть скомпрометированы.
На тот момент злоумышленники разослали контактам жертвы в Telegram сообщения от ее имени с просьбой переслать криптовалюту. Ганот предоставил «клиенту» прайс-лист, а сам стал размышлять над тем, как был взломан телефон – с помощью поддельной SIM-карты или вредоносного ПО. Хотя связанные с криптовалютой взломы – дело вполне обыденное, взлом учетной записи в Telegram таковым не назовешь.
На следующее утро Ганота буквально забросали аналогичными жалобами. По его словам, хакеры взломали телефоны порядка двадцати израильтян, являющихся президентами или вице-президентами криптовалютных компаний. Помимо криптовалюты, жертв объединяло еще одно обстоятельство – все они были абонентами одного оператора связи, израильской телекоммуникационной компании Partner.
Каким образом злоумышленникам удалось осуществить взлом? Многие сервисы, в том числе Telegram, для идентификации пользователей используют проверочные коды, отправляемые в SMS-сообщениях. Как правило, с целью перехвата этих сообщений злоумышленники «клонируют» (делают дубликаты) SIM-карты жертвы. Однако на этот раз, похоже, хакерам удалось перехватить SMS-сообщения, отправляемые самим оператором связи.
Как показало расследование, хакеры осуществили так называемый спуфинг SMSC, предполагающий использование роуминга. Они получили доступ к заграничной сотовой сети, взаимодействующей непосредственно с израильскими сотовыми сетями, и отправили с заграничной сети в израильскую сообщение, тем самым обновив местоположение клиента.
Текст сообщения мог быть, например, таким: «Абонент только что приземлился в Тбилиси и зарегистрировался в нашей сети. Просьба переадресовывать все его сообщения через эту сеть». Как пояснил Ганот, план злоумышленников сработал, поскольку такое обновление местоположения абонента является «необходимой процедурой для людей, въезжающих на территорию иностранного государства, чьи телефоны находятся в режиме роуминга».
