فريق أمني عربي يرصد هجومًا واسعًا ضد مستخدمي تيليجرام

رصد فريق Semicolon المتخصّص في أمن المعلومات هجومًا إلكترونيًا واسعًا يستهدف مستخدمي تطبيق المراسلة تيليجرام عبر استغلال خلل أمني في التطبيق يتيح للمهاجمين اختراق الحساب دون الحاجة لأي تواصل أو تفاعل مع الضحية، علمًا أن تطبيق تيليجرام يُصنَّف من بين أكثر تطبيقات المراسلة أمانًا في العالم.

وفي تفاصيل الهجوم الذي انتشر في لبنان خلال الأيام الماضية، كشف الفريق أن الخلل الأمني يكمن في خاصية رمز التحقق لمرة واحدة Verification Code One-Time الذي يُرسل للمستخدم عند محاولة الولوج إلى حسابه من جهاز أو متصفح جديد، حيث يحتاج المستخدم إلى إدخال هذا الرمز لتأكيد ملكيته للحساب، ويستغل المهاجمون هذا الخلل للحصول على الرمز بالنيابة عن المستخدم، وهذا يمكّنهم من الولوج إلى الحساب والاطلاع على المحادثات والمعلومات الخاصة بالمستخدم دون إذنه أو علمه.

ولدى تيليجرام نوعان من رموز التحقق، الأول يُرسل عبر خدمة الرسائل النصية القصيرة SMS، وذلك في حال كان المستخدم جديدًا في التطبيق ولم يفتح حسابه من أي جهاز أو متصفح من قبل، والنوع الثاني يُرسل عبر رسالة داخل تطبيق تيليجرام نفسه (من حساب تيليجرام الرسمي والموثّق بالعلامة الزرقاء) وذلك في حال كان الحساب مفعّلًا من قَبلُ في جهاز أو متصفح آخر، واللافت في الهجوم أنه يستهدف النوع الثاني، حيث إن كافة الحالات التي رُصدت وحُلِّلت كان ضحاياها يتلقون رمز التفعيل عبر رسالة من تيليجرام داخل التطبيق، وليس عن طريق الرسائل النصية القصرة، قبل ثوانٍ من إشعارهم بأن الحساب قد فُتح واستُخدم في جهاز جديد.

كيف يحدث الهجوم؟

بحسب التحليل الفني، يستخدم المهاجمون قوائم مسرّبة أو مولّدة بطرق غير شرعية تحتوي على أرقام هواتف مرتبطة بحسابات تيليجرام، وقد تكون شبيهة بتلك القوائم التي سُرِّبت من خدمة واتساب قبل أشهر وطالت أكثر من 487 مليون مستخدم بحسب تقرير صادر عن فريق (سايبر نيوز) Cybernews، والتي تشكّل 25 في المئة من قاعدة البيانات، التي بِيعت في منتديات الإنترنت المظلم بمبلغ يقارب 7,000 دولار أمريكي.

وباستخدام القوائم، يعمل المهاجمون على أتمتة الهجوم عبر تعليمات برمجية خبيثة لتستهدف أكبر عدد ممكن من الحسابات في فترة زمنية قصيرة، فما أن تحصل الأجهزة المستخدمة في الهجوم (البوتات) على رمز التحقق، حتى تخترق مباشرةً الحساب قبل انتهاء صلاحية الرمز (تنتهي صلاحية الرمز خلال 5 دقائق).

ما الخلل الأمني الموجود؟

يعود إلى شركة تيليجرام وحدها مسؤولية الكشف عن سبب وراء الخلل الأمني بدقة، لكن بحسب التقديرات الأولية للفريق، فمن المتوقع أن يكون الخلل ناتجًا عن ثغرة أمنية في إحدى خدمات تيليجرام تتيح للقراصنة توليد عدد لانهائي من رموز التحقق أو ما يعرف بهجوم القوة العمياء Brute Force Attack علمًا أن رمز التحقق مكوّن من 5 أرقام فقط مما يسهّل كشفه في ثوانٍ فقط في حال وجود الثغرة، أو قد يكون الخلل ناتجًا عن ضعف في نظام تشفير الرسائل التي تحتوي على رموز التحقق المرسلة داخل تيليجرام، الأمر الذي قد يسبب ظهور الرمز بوضوح دون تشفير عند اعتراض المهاجم حزمة البيانات وتفكيكها للاطلاع على محتواها Packet Sniffing.

من يقف وراء الهجوم؟

تتبع فريق Semicolon عناوين بروتوكول الإنترنت المستخدمة في الهجوم، وتمكن من تحديد مزود الخدمة الرئيسي وأفرادًا مشتبهًا بضلوعهم في الهجوم، وتبيّن أن العناوين المستخدمة في الهجوم قد سبق وشاركت في هجمات منظّمة استهدفت خدمات إلكترونية في ألمانيا وبريطانيا وكازاخستان عام 2021 و2022 و2023، وشملت هجمات عبر البريد الإلكتروني الضار Email Spam، وهجمات تطبيقات الويب Web App Attack، وهجمات القوة العمياء Brute Force. وقد أبلغ عن هذه الهجمات المتضررون فحُظرت العناوين وأُدرجت في القوائم السوداء.

كيف تعامل فريق Semicolon مع شركة تيليجرام؟

صرح فياض عطوي، مدير فريق Semicolon، بأن الفريق تواصل مع شركة تيليجرام رسميًا وزودهم بثلاثة تقارير مفصّلة تضمنت تحليلًا لعدّة حالات بالإضافة إلى معلومات عن المهاجمين وأجهزتهم وعناوينهم الرقمية والأسباب المحتملة لهذا الخلل الأمني الخطير، ونحن بانتظار تعامل قسم الحماية في تيليجرام مع هذه التقارير والعمل على وضع حد للهجوم في أقرب وقت ممكن.

كيف نحمي حساباتنا من هذا الهجوم؟

يوصي فريق Semicolon كافة مستخدمي تطبيق تيليجرام على كافة الأجهزة وأنظمة التشغيل بتفعيل خاصية التحقق بخطوتين Two-Step Verification التي تقدمها تيليجرام. حيث أثبتت التجربة فشل المهاجمين في اختراق الحسابات التي فعّلت هذه الخاصية، رغم نجاحهم بالحصول على رمز التحقق.

ولتفعيل الخاصية، يتعين عليك الدخول إلى: (الإعدادات) Settings، ثم (الخصوصية والأمان) Privacy and Security، و(التحقق بخطوتين) Two-Step Verification. ثم تحديد كلمة مرور قوية مكونة من عدة أحرف وأرقام، وتحديد بريد إلكتروني يمكن الوصول إليه في حال نسيان كلمة المرور.