Міністерство оборони зупинило надання технічної підтримки сервісу Резерв+ через платформу Telegram.
Про це інформує Міністерство оборони України.
За даними відомства, на початковому етапі запуску "Резерв+" у травні цього року підтримка користувачів здійснювалася через декілька платформ, включно з Telegram. Однак, з метою підвищення безпеки даних користувачів, Міноборони відмовилося від цього каналу зв'язку та видалило офіційний чат-бот.
"Після оцінки ризиків, пов'язаних із використанням Telegram для технічної підтримки, ми вирішили відмовитися від цього каналу, оскільки не могли забезпечити належний рівень захисту даних на цій платформі. Чат-бот був видалений з додатка, і альфа-ім'я боту також анульовано. Проте це створило можливість для проросійських шахрайських угруповань, які використали старе альфа-ім'я для створення нової фейкової версії бота", - йдеться у повідомленні.
Цей фейковий бот розповсюджував шкідливі файли. Після виявлення факту шахрайства Міністерство оборони оперативно звернулося до адміністрації Telegram, і фейковий бот було видалено.
У Міністерстві оборони акцентували увагу на тому, що цей інцидент не позначився на безпеці даних користувачів "Резерв+". Вся інформація передається в реєстр "Оберіг" у зашифрованому форматі, а сам додаток не зберігає особисті дані своїх користувачів.
Напередодні користувачі Резерв+ отримали повідомлення із офіційного Telegram-каналу додатку, в яких містилася пропозиція завантажити підозрілий файл. Кібербезпековий експерт Костянтин Корсун прокоментував цю ситуацію, зазначивши, що це може вказувати на можливий злочин з боку хакерів, і висловив припущення про те, що могли піддати атаці як Резерв+, так і сам Telegram-канал.
За його інформацією, користувачі Резерв+ отримали повідомлення з офіційного Telegram-каналу програми РезервХрест, в якому їх просять завантажити файл REZERVPLUS.zip – "для правильного оновлення реєстру".
"Всі знають, що питання коректності внесення змін до Оберігу є давньою проблемою. Тому текст був сформульований з психологічною точністю: ти встановив свій РезервХрест, але виникає питання: 'Чи правильно мої дані відображені в реєстрі?' І раптом з офіційного ТГ-бота приходить файл, який точно вирішить цю проблему та розвіє всі твої сумніви", - поділився Корсун.
Насправді, команда хакерів отримала контроль над цим каналом і розпочала розсилку користувачам шкідливого програмного забезпечення, яке викрадало особисті дані (клас stealer, модель Medusa Stealer).
Згідно з висновками фахівця, до здійснення атаки може бути причетна хакерська група, відома як DaVinci Group (ідентифікована як "UAC-0050" в українській класифікації). Ця група відноситься до категорії державних спонсорованих хакерів і спеціалізується на викраденні інформації з українських урядових установ.
"Я не можу звинуватити користувачів РезервХрест, які стали жертвами цієї атаки і завантажили цей файл. Вони довіряють офіційному ресурсу і, відповідно, вважають усе, що з нього надходить, легітимним. Це вже сталося раніше з Медком, коли офіційний канал оновлень продукту був зламаний," - зазначив він.
Як зазначив, щойно команда розробників Міністерства оборони України отримала інформацію про численні скарги, вони оперативно прибрали посилання на скомпрометований Telegram-канал.
"Коли почали звучати звинувачення на адресу заступниці міністра оборони, яка відповідальна за РезервХрест, то її відповідь була наступною, дослівно: "Застосунок Резерв+ не має ботів чи сторінок в Телеграмі. Це шахрайство". Кінець цитати", - зауважив експерт.
Проте дані свідчать про те, що вже в травні 2024 року було оголошено про старт Резерв+, про що було повідомлено в офіційному Telegram-каналі.
Чи можна стверджувати, що додаток Резерв+ став жертвою злому в результаті цієї атаки? Формально - ні. Під загрозу потрапив телеграм-канал, який команда розробників з Міністерства оборони України просувала як "офіційний".
Чи постраждали тисячі (можливо, навіть більше) користувачів Резерв+ через недбалість у розробці додатка? Так, без сумніву. І досі невідомо, скільки саме пристроїв зазнали атаки та скільки повторних "ланцюгових" інфекцій сталося через контакти та їх зв'язки, - підкреслив Корсун.
