Боб Дьяченко, исследователь кибербезопасности в Украине, проводит часть своих дней в поисках на просторах Интернета множества данных, которые не защищены должным образом, чтобы найти уязвимые места и поставить защиту от хакеров.

В прошлом месяце Боб наткнулся на незащищенный сервер, хранящий информацию о 42 миллионах аккаунтов из Ирана, привязанных к мессенджеру Telegram.

Не было никаких прямых подсказок относительно того, кто получил данные и разместил их на сервере. Была только целевая страница, вся черная, с логотипом белого орла и посланием на фарси.

«Добро пожаловать в систему охоты», — говорится в сообщении на странице.

Дьяченко заявил, что уведомил иранское агентство по кибербезопасности, и вскоре после этого сервер был отключен.

Но прежде чем он исчез, другие киберлейты начали собственное расследование. В конечном итоге это привело их к хакерской группе с невероятным никнеймом — «Очаровательный котенок» (Charming Kitten – англ.) и поразительным выводом: Дьяченко наткнулся на шпионскую операцию иранского правительства.

«Уже более 10 лет я слежу за иранскими кибератаками и слежкой, и я никогда не видел ничего подобного», — сказал Амир Рашиди, иранский исследователь в области интернет-безопасности и цифровых прав, базирующийся в Нью-Йорке. «Они могли бы использовать это, чтобы преследовать моих родственников, моих друзей, мою семью».

Множество данных, части которых были просмотрены Bloomberg News, содержали имена пользователей, телефонные номера, биографии пользователей и уникальные коды — или «хэши» — связанные с учетными записями, хранящимися на сервере.

Неясно, были ли данные в основном от пользователей Telegram или от пользователей неофициальных версий приложения, которые стали популярными после того, как Telegram был запрещен в Иране в 2018 году. Некоторые неофициальные приложения, использующие тот же исходный код, что и Telegram, были ранее связаны с правительством Ирана.

В любом случае, эти данные могут быть использованы для клонирования учетных записей людей и отслеживания частных сообщений, идентификации пользователей, которые используют Telegram анонимно, или рассылки пропаганды или дезинформации, направленных на конкретные группы, говорит Дьяченко.

Рашиди сказал, что ранее было известно о том, что Иран избирательно взламывал аккаунты отдельных людей. Однако, «система охоты» показывает, что иранские власти используют новые и более агрессивные методы сбора и анализа огромных массивов данных о своих гражданах, говорит Амир.

«Это первый раз, когда я увидел доказательства того, что они пытаются проанализировать данные в широком масштабе», — сказал Рашиди.

В сообщении Telegram присланном Bloomberg по email говорится, что, по мнению компании, данные получены из неофициальных версий приложения, используемых в Иране, которые могли тайно собирать информацию о пользователях Telegram с телефонов людей.

«Образцы данных, которые мы смогли изучить, ясно показывают, что информация собиралась с использованием сторонних приложений, которые крали данные у их пользователей», — сказал Маркус Ра, представитель Telegram.

«Если один из ваших друзей, у которого есть ваш номер, использовал вредоносное приложение, ваш номер и имя пользователя могут оказаться в базе данных», например в «системе охоты», сказал Ра, «даже если вы сами не использовали это вредоносное приложение».

По крайней мере, некоторые из пользовательских аккаунтов в базе данных связаны с активными пользователями официального приложения Telegram на основе обзора, сравнивающего учетные записи на сервере и в приложении. Отметки времени показывают, что некоторые аккаунты пользователей Telegram были доступны только в марте 2020 года.

Кибер-полиция Ирана пока не комментирует ситуацию с утечкой данных. Амир Наземи, заместитель министра в министерстве связи и информационных технологий Ирана, заявил, что подал жалобу на нарушение данных в Генеральную прокуратуру Ирана. Он отказался комментировать, были ли киберполиция или другие правительственные учреждения вовлечены в «систему охоты».

Об обнаружении сервера Бобом Дьяченко было сообщено в компьютерной торговой публикации. Несколько иранских исследователей в области кибербезопасности продолжают изучать данные.

Один из них, Мохаммад Джорджанди, который живет и работает в США, обнаружил, что сервер, хранящий пользовательские данные, был зарегистрирован в офисе на северо-западе Тегерана человеком по имени Манучехр Хашемлу (Hashemloo).

Используя онлайн-записи Bloomberg News, Джорджанди установил, что Hashemloo использовал тот же адрес Gmail, который использовал известный хакер, связанный с иранским правительством. Хакер, который использует никнейм ArYaIeIrAN, был связан с предполагаемой хакерской группой, спонсируемой правительством Ирана, известной как «Очаровательный котенок», которая ранее атаковала иранских диссидентов, ученых, журналистов и правозащитников.

Джорджанди пришел к выводу, что люди, которые настроили сервер «системы охоты», вероятно, работали на правительство Ирана.

ClearSky Cyber ​​Security также ранее обнаружила несколько хакерских операций, выполненных ArYaIeIrAN связанным с Hashemloo, и в отчете 2017 года упоминается адрес Gmail хакера, который связан с операциями, выполняемыми «Очаровательным котенком».

Другой иранский исследователь безопасности сказал, что Hashemloo был «известным человеком в безопасности и хакерском обществе» в Иране, чье имя было во многих кибер-операциях правительства Ирана. Исследователь, который живет в Иране и просит анонимности из-за проблем безопасности, сказал, что «система охоты», вероятно, была порталом для иранского агентства кибер-полиции, которое было создано в 2011 году отчасти для целевых групп инакомыслящих и критиков правительства.

Взломы «Очаровательного котенка» были задокументированы исследователями в течение нескольких лет.

В своем отчете за 2017 год ClearSky задокументировал, что Charming Kitten создал поддельные новостные сайты, в том числе один с именем britishnews.com, и попытался взломать компьютеры журналистов, правозащитников и исследователей из Европы и Ближнего Востока.

В прошлом году ClearSky заявил, что та же группа хакеров попыталась взломать учетные записи электронной почты нынешних и бывших должностных лиц США, людей, связанных с нынешней президентской кампанией в США, журналистов, освещающих глобальную политику, и известных иранцев, живущих за пределами Ирана.

«У нас есть веские доказательства того, что Charming Kitten является хакерской группой, спонсируемой государством Иран», сказал Охад Зайденберг, ведущий исследователь компании в области кибер-разведки.

Зайденберг сказал, что он не смог узнать, кто стоит за «системой охоты». Но в прошлом, по его словам, группа Charming Kitten предназначалась для пользователей Telegram.

Ранее группа создала вредоносный веб-сайт, который был похож на страницу входа в Telegram, утверждает Зайденберг.

В течение многих лет иранцы использовали Telegram в качестве средства связи, используя шифрование для защиты личных сообщений. Приложение также позволяет пользователям присоединяться к группам, где они могут узнать о новостях, которые подвергаются цензуре со стороны государственных СМИ в стране.

После запрета на Telegram некоторые иранцы обошли его, используя программное обеспечение, такое как виртуальные частные сети, что позволило им обойти блокировку страны на веб-сайте Telegram, сообщает Рашиди.

Другие начали скачивать неофициальные версии Telegram, называемые Hotgram и Telegram Gold, которые используют тот же базовый код, что и официальное приложение, но не управляются Telegram.

Эксперты по кибербезопасности подозревают, что неофициальные приложения могли быть разработаны иранским правительством в качестве средства контроля за гражданами страны.

В мае 2019 года Нассролла Пежманфар, член парламента Ирана, подтвердил эти подозрения, заявив, что Telegram Gold и Hotgram были профинансированы разведывательными и коммуникационными министерствами Ирана, которые, по его словам, потратили около $90 млн. на их создание.

«Было очевидно, что они связаны с властями Ирана», — говорит Махса Алимардани, исследователь, специализирующийся на Иране в Оксфордском интернет-институте. «Они подвергали цензуре контент на платформах и пытались централизовать контроль над пользователями».

Telegram предупредил иранцев против использования неофициальных приложений. В прошлом году они были удалены из Google Play Store по соображениям безопасности.

«К сожалению, несмотря на наши предупреждения, люди в Иране все еще используют непроверенные приложения», — сказал Ра, представитель Telegram.

По материалам: Bloomberg