קספרסקי: האקרים ניצלו פרצת יום אפס בטלגרם כדי להפיץ קוד זדוני רב יכולות

חוקרי מעבדת קספרסקי חשפו התקפה פעילה בשטח, המבוצעת באמצעות קוד זדוני חדש המנצל פרצת יום אפס בגרסת המחשב של אפליקציית טלגרם. הפירצה משמשת כדי להחדיר למחשב קוד זדוני רב יכולות, אשר בהתאם למחשב בו הוא מופעל, יכול לשמש כדלת אחורית או ככלי להפעלת תוכנת כריה. על פי המחקר, הפירצה מנוצלת מאז מרץ 2017 לצורך כריית מטבע קריפטוגרפי כגון Monero ו- Zcash.

על פי המחקר, פירצת יום האפס שהתגלתה בטלגרם התבססה על שיטת right-to-left override ל-Unicode. השיטה משמשת בדרך כלל לקידוד שפות הנכתבות מימין לשמאל, כגון עברית וערבית. עם זאת, היא גם שימשה את יוצרי הקוד הזדוני כדי להטעות משתמשים ולהוביל אותם להורדת קבצי קוד זדוני מחופשים, לדוגמא כתמונות.  

תוקפים הסתירו בשם הקובץ תווי Unicode אשר הפכו את הסדר של התווים, ובכך שינו את שם הקובץ עצמו. כתוצאה מכך, משתמשים הורידו קוד זדוני נסתר אשר הותקן לאחר מכן במחשבים שלהם. מעבדת קספרסקי דיווחה על על הפירצה לטלגרם, ונכון לעת פרסום הדברים, פירצת יום האפס לא נצפתה יותר במוצרי החברה. 

במהלך הניתוח שלהם, מומחי מעבדת קספרסקי זיהו מספר תרחישי פריצה שהופעלו בשטח מצד גורמי האיום. הפירצה נוצלה בעיקר כדי להחדיר קוד זדוני לכרייה אשר יכול להיות מזיק מאוד למשתמשים. באמצעות שימוש בעוצמת המחשוב של הקורבן, עברייני הסייבר כרו סוגים שונים של מטבע קריפטוגרפי, כגון Monero, Zcash, Fantomcoin ואחרים. מעבר לכך, במהלך ניתוח השרתים של אחד מגורמי האיום חוקרי מעבדת קספרסקי מצאו ארכיב המכיל קבצי cache לוקליים של טלגרם אשר נגנבו מהקורבנות.

בנוסף, עם ניצול מוצלח של הפירצה, הותקנה במחשב דלת אחורית המשתמשת ב-API של טלגרם כפרוטוקול לפיקוד ושליטה. דלת אחורית זו מספקת להאקר גישה מרחוק למחשב הקורבן - אחרי התקנה היא מתחילה לפעול במצב שקט המאפשר לתוקף להימנע מחשיפה ברשת ולהפעיל פקודות שונות, כולל התקנות נוספות של כלי ריגול. הממצאים שהתגלו במהלך המחקר מצביעים על עברייני הסייבר ממקור רוסי.

"הפופולאריות של שירותי מסרים מידיים היא אדירה, וחשוב ביותר שמפתחים יספקו הגנה מתאימה למשתמשים שלהם, כך שלא יהפכו למטרות קלות לעבריינים. מצאנו מספר תרחישים לפירצת יום האפס הזו, אשר שימשו, בין היתר, כדילהחדיר קוד זדוני לכריה – סוג של הדבקה שהפכה למגמה עולמית אשר הציגה צמיחה לאורך השנה האחרונה. יותר מכך, אנו מאמינים כי היו דרכים אחרות לנצל את פירצת יום האפס", אמר אלכסיי פירש, אנליסט קוד זדוני, מחקר התקפות ממוקדות, מעבדת קספרסקי.

לפרטים נוספים על פירצת יום האפס, לרבות הדוח הטכני - Securelist.com