"Резерв+" та його Telegram-бот залишилися незайманими від хакерських атак, -- "ЕП"
Згідно з інформацією, наданою джерелами, чат-бот став інструментом для фішингової атаки, незважаючи на те, що Міністерство оборони вже закрило його.
Чат-бот технічної підтримки додатку "Резерв+" у Telegram, через який українцям надсилали шкідливе програмне забезпечення, не піддавався злому. Він був використаний невідомим злочинцем після того, як Міноборони вирішило відмовитися від його використання. Цю інформацію повідомляє "Економічна правда", посилаючись на свої джерела.
Джерело, яке має обізнаність про ситуацію, але не має права на офіційні коментарі, підтвердило, що застосунок "Резерв+" не зазнав злому.
"ЕП" повідомляє, що на початку служба підтримки "Резерв+" дійсно функціонувала через чат-боти в Viber і Telegram. Однак згодом Міністерство оборони України прийняло рішення припинити використання чат-бота в Telegram. Посилання на нього більше не доступне в додатку.
Співрозмовник "ЕП" підтвердив, що чат-бот у Telegram видалили. Коли це сталося і скільки часу він працював, невідомо. Не відома й причина припинення комунікації через Telegram-бот.
У Міністерстві оборони не відповіли на запити "ЕП". Вони повідомили, що на даний момент чат-бот не функціонує, а МОУ не проводить комунікацію з користувачами "Резерву+" у Telegram.
Після того, як офіційний чат-бот у Telegram був видалений, його користувацьке ім'я стало доступним для інших користувачів. У CERT-UA повідомили "ЕП", що зловмисники використали ім'я @reserveplusbot, щоб створити фальшивий Telegram-бот, який імітує службу підтримки "Резерву+".
"Коли команда вирішила покинути Telegram, потрібно було не видаляти чат-бот, а припинити його використовувати, залишивши URL-адресу під своїм контролем. Видаливши бот, вони відкрили можливість для будь-кого зареєструватися з цим юзернеймом і використовувати його на власний розсуд", -- пояснив керівник проєкту Kremlingram Назар Токар.
На сьогоднішній день залишається незрозумілим, хто саме скористався гіперпосиланням на колишній офіційний чат-бот для здійснення фішингової атаки. В організації CERT-UA зазначають, що подібні інциденти не є новими, адже зловмисники вже не раз використовували назви офіційних державних аккаунтів у своїх шахрайських схемах. Схожа ситуація траплялася і з чат-ботом "єВорог".
"Вся інформація, яку ви обмінюєте в Telegram, потрапляє до Росії. Дані, що проходять через чат-боти, стають доступними для керівництва месенджера, яке складається з росіян. Важко навіть уявити, як виникла думка про створення технічної підтримки застосунку Міноборони в рамках війни в Telegram," - зазначає Назар Токар.
Також "ЕП" повідомляє, що група "Резерву+" неодноразово контактувала з представниками Telegram стосовно фальшивого облікового запису, але всі їхні запити залишилися без реакції.
У CERT-UA повідомили "ЕП", що 16 жовтня обліковий запис @reserveplusbot був видалений і позначений як шахрайський. Як зазначає видання, в Telegram існує ще один чат-бот під назвою "ReservePlusBot" з юзернеймом @ReservePlusRealBot. З'ясувати, хто його створив та кому він належить, не вдалося.
Нагадаємо, що 16 жовтня команда реагування CERT-UA повідомила про виявлення розповсюдження шкідливого програмного забезпечення через телеграм-бота @reserveplusbot, який здатен викрадати файли з пристроїв. У травні цей чат-бот вважався офіційним каналом для зв'язку з технічною підтримкою застосунку "Резерв+".
Колишній директор CERT-UA Костянтин Корсун тоді роз'яснював, що зловмисники не отримали доступ до самого додатку "Резерв+", а лише до телеграм-каналу, який розробники цього додатку рекламували як "офіційний".
