- Специальный корреспондент
Хакеры SLOVENLY COMET кошмарят латиноамериканцев новым трюком.
Несколько недель назад аргентинские пользователи начали сообщать специалистам по безопасности о взлома аккаунтов Telegram. Необычность ситуации заключалась в том, что для захвата учетных записей не требовалось никаких действий со стороны жертв. Атаки успешно проходили даже против тех, кто тщательно соблюдал базовые правила цифровой безопасности.
Расследование показало: речь идет не об отдельных инцидентах. Злоумышленники целенаправленно атаковали участников определенных групп, преимущественно связанных с криптовалютными сообществами Аргентины. Во всех случаях хакеры намеренно запускали отправку SMS с кодами двухфакторной аутентификации. После этого в журналах входа появлялись идентичные записи:
Тщательный анализ собранных данных позволил отследить первые случаи атак – они начались 7 февраля этого года. Группировке присвоили кодовое имя SLOVENLY COMET. Эксперты призывают всех, кто располагает информацией об этих злоумышленниках, написать на [email protected] .
После проверки нескольких версий международная команда исследователей совместно с местными специалистами выдвинула теорию о компрометации SMS-шлюзов. Дальнейший анализ доказательств – скриншотов, системных журналов и утекших данных – подтвердил догадку. Обнаружился Telegram-бот, систематически перехватывавший сообщения с кодами аутентификации. В его архиве содержались десятки тысяч записей такого формата:
Подлинность записей специалисты подтвердили – утечка продолжалась несколько недель, оставаясь незамеченной.
Масштаб угрозы оказался значительно шире первоначальных оценок. Поскольку большинство компаний пользуются услугами нескольких крупных SMS-провайдеров, злоумышленники получили доступ к сообщениям с кодами аутентификации от множества популярных сервисов: Google, Microsoft, Apple, Telegram, Facebook, Mercadolibre, Amazon, Binance, Betfun, Instagram, TikTok, Temu и Signal. Атака затронула также региональные службы – Mercado Pago, Mi Argentina (Аргентина), Banco Formosa (Уругвай), TRANSVIP (Чили). По общим оценкам, под удар попали минимум 50 различных платформ.
Брешь обнаружилась в базовом компоненте инфраструктуры SMS-сервисов. О проблеме уведомлены все причастные организации, операторы связи и государственные структуры. Сейчас ведется расследование инцидента и разработка защитных мер.
В ближайшие дни должны появиться дополнительные подробности – затронутые компании готовят отчеты о собственных расследованиях. А пока разработчикам сервисов советуют отказаться от принудительного использования SMS для двухфакторной защиты – этого метода к атакам перехвата известна более десяти лет. Вместо этого необходимо предоставить людям выбор надежных альтернатив: приложений-аутентификаторов или аппаратных ключей.
Пользователям же рекомендуется проверить настройки безопасности на своих устройствах и сообщать о подозрительной активности в правоохранительные органы.
Несколько недель назад аргентинские пользователи начали сообщать специалистам по безопасности о взлома аккаунтов Telegram. Необычность ситуации заключалась в том, что для захвата учетных записей не требовалось никаких действий со стороны жертв. Атаки успешно проходили даже против тех, кто тщательно соблюдал базовые правила цифровой безопасности.
Расследование показало: речь идет не об отдельных инцидентах. Злоумышленники целенаправленно атаковали участников определенных групп, преимущественно связанных с криптовалютными сообществами Аргентины. Во всех случаях хакеры намеренно запускали отправку SMS с кодами двухфакторной аутентификации. После этого в журналах входа появлялись идентичные записи:
Тщательный анализ собранных данных позволил отследить первые случаи атак – они начались 7 февраля этого года. Группировке присвоили кодовое имя SLOVENLY COMET. Эксперты призывают всех, кто располагает информацией об этих злоумышленниках, написать на [email protected] .
После проверки нескольких версий международная команда исследователей совместно с местными специалистами выдвинула теорию о компрометации SMS-шлюзов. Дальнейший анализ доказательств – скриншотов, системных журналов и утекших данных – подтвердил догадку. Обнаружился Telegram-бот, систематически перехватывавший сообщения с кодами аутентификации. В его архиве содержались десятки тысяч записей такого формата:
Подлинность записей специалисты подтвердили – утечка продолжалась несколько недель, оставаясь незамеченной.
Масштаб угрозы оказался значительно шире первоначальных оценок. Поскольку большинство компаний пользуются услугами нескольких крупных SMS-провайдеров, злоумышленники получили доступ к сообщениям с кодами аутентификации от множества популярных сервисов: Google, Microsoft, Apple, Telegram, Facebook, Mercadolibre, Amazon, Binance, Betfun, Instagram, TikTok, Temu и Signal. Атака затронула также региональные службы – Mercado Pago, Mi Argentina (Аргентина), Banco Formosa (Уругвай), TRANSVIP (Чили). По общим оценкам, под удар попали минимум 50 различных платформ.
Брешь обнаружилась в базовом компоненте инфраструктуры SMS-сервисов. О проблеме уведомлены все причастные организации, операторы связи и государственные структуры. Сейчас ведется расследование инцидента и разработка защитных мер.
В ближайшие дни должны появиться дополнительные подробности – затронутые компании готовят отчеты о собственных расследованиях. А пока разработчикам сервисов советуют отказаться от принудительного использования SMS для двухфакторной защиты – этого метода к атакам перехвата известна более десяти лет. Вместо этого необходимо предоставить людям выбор надежных альтернатив: приложений-аутентификаторов или аппаратных ключей.
Пользователям же рекомендуется проверить настройки безопасности на своих устройствах и сообщать о подозрительной активности в правоохранительные органы.
