Міноборони більше не використовує Telegram для технічної підтримки Резерв+

Про це інформує Міністерство оборони України.

За даними відомства, на початковому етапі запуску "Резерв+" у травні цього року підтримка користувачів здійснювалася через декілька платформ, включно з Telegram. Однак, з метою підвищення безпеки даних користувачів, Міноборони відмовилося від цього каналу зв'язку та видалило офіційний чат-бот.

"Після аналізу ризиків використання Telegram для технічної підтримки ми відмовилися від цього каналу, оскільки не могли гарантувати безпеку даних у межах цієї платформи. Чат-бот було видалено із застосунку, а також видалено альфа-імʼя боту. Проте це створило можливість для проросійських шахрайських груп, які скористалися колишнім альфа-іменем для створення нового фейкового бота", - йдеться у повідомленні.

Цей фейковий бот розповсюджував шкідливі файли. Після виявлення факту шахрайства Міністерство оборони оперативно звернулося до адміністрації Telegram, і фейковий бот було видалено.

У Міноборони підкреслили, що інцидент не вплинув на безпеку даних користувачів "Резерв+". Всі дані передаються до реєстру "Оберіг" у зашифрованому вигляді, а сам застосунок не зберігає особисту інформацію користувачів.

Що передувало

Напередодні користувачі  Резерв+ отримали повідомлення з офіційного Telegram-каналу застосунку, які містили пропозицію завантажити підозрілий файл. Експерт з кібербезпеки Костянтин Корсун пояснив, що це могло значити, і що, на його думку, могли хакнути: Резерв+ чи Telegram-канал.

За його словами, користувачам Резерв+ почали надходити повідомлення з офіційного Telegram-каналу застосунку РезервХрест з проханням завантажити файл REZERVPLUS.zip - "для коректного внесення змін до реєстру". 

Фото: Костянтин Корсун

"Бо ж усі знають, що коректність внесення змін до Оберега - це давно відома проблема. Тому pretext був підібраний психологічно грамотно: ти встановив собі РезервХрест, але сумніваєшся "чи точно мої дані внесені в реєстр коректно?" І ось з офіційного ТГ-бота приходить файл, який точно виправить цю проблему та розвіє сумніви", - розповів Корсун.

Насправді ж група хакерів заволоділа цим каналом і надіслала користувачам шкідливе програмне забезпечення (malware), яке викрадало усю інформацію (клас stealer, модель Medusa Stealer).

Як стверджує експерт, до атаки причетна хакерська група відома під назвою DaVinci Group ("UAC-0050" за українською класифікацією), що належати до категорії так званих спонсорованих державою (state sponsored) і спеціалізується на викраденні інформації саме з українських органів влади.

"У мене язик не повертається звинувачувати тих користувачів РезервХрест, які стали жертвою цієї атаки та завантажили цей файл. Оскільки вони довірилися офіційному ресурсу, тому автоматично вважають легітимним усе, щоб з нього надходить. Як свого часу сталося з Медком - тоді було хакнуто офіційний канал оновлення продукту", - додав він.

За його словами, тільки-но розробники МОУ дізналися про масові скарги, вони швидко видалили посилання на скомпрометований Telegram-канал.

"Коли почали звучати звинувачення на адресу заступниці міністра оборони, яка відповідальна за РезервХрест, то її відповідь була наступною, дослівно: «Застосунок Резерв+ не має ботів чи сторінок в Телеграмі. Це шахрайство». Кінець цитати", - зауважив експерт.

Фото: Костянтин Корсун

Однак факти вказують на те, що ще у травні 2024 року було анонсовано запуск Резерв+ із посиланням на офіційний Telegram-канал.

"Чи можна сказати, що додаток Резерв+ був хакнути внаслідок цієї атаки? Формально ні. Було хакнуто ТГ-канал, який команда розробників з МОУ рекламували як "офіційний". 
Чи було інфіковано тисячі (можливо більше) користувачів Резерв+ внаслідок безвідповідального ставлення до архітектури додатка? Так, безперечно. І це ще ми не знаємо точну кількість уражених девайсів та кількість повторних "ланцюгових" уражень через контакти та контакти контактів", - зазначив Корсун.

• 16 жовтня у Telegram зафіксували розповсюдження шкідливих повідомлень нібито від технічної підтримки Резерв+.