هک ایمیل صوتی تلگرام در برزیل

به گزارش کارگروه امنیت سایبربان؛ هفته گذشته، 4 نفر در برزیل به اتهام هک بیش از 1000 حساب کابری تلگرام دستگیر شدند؛ برخی از این حساب‌ها متعلق به مقامات دولتی از جمله ژائیر بولسونارو (Jair Bolsonaro)، رئیس جمهور این کشور، سرخیو مورو (Sergio Moro)، وزیر دادگستری و پائولو گوئدس (Paulo Guedes)، وزیر اقتصاد بودند.

دیگر سیاستمداران رده‌های پایین‌تر مانند : جویس هاسلمن (Joice Hasselmann)، یکی از بانوان کنگره و متحد اصلی بولسونارو و مورو ادعا می‌کنند که چندی پیش هدف هکرها بوده‌اند.

با توجه به اسناد دادگاه، این 4 نفر از ترفند هک نسبتاً ناشناخته‌ای برای نفوذ به حساب‌های کاربری تلگرام گوشی‌های قربانیان استفاده کردند.

رسانه محلی گزارش داد که هکرها با دسترسی به حساب‌های کاربری پیام‌هایی را همراه با لینک‌های مخرب به مخاطبان کاربران ارسال می‌کردند. با این حال، به نظر می‌رسد این گروه با نفوذ در حساب‌های سیاستمداران محلی، به پیام‌های شخصی آنها دسترسی یافتند.

شروع تحقیق و بررسی پس از انتشار پیام‌های تلگرام

مقامات برزیلی مدعی هستند که برخی پیام‌هایشان پس از هک شدن حساب کاربری سرخیو مورو به خبرنگاران «The Intercept» رسیده است.

سایت خبری آنلاین، با همکاری دیگر سایت‌های خبری بزرگ محلی 4 روز پس از انتشار پیام‌های تلگرام میان مورو و دلتان دالاگنول (Deltan Dallagnol)، دادستان عملیات کارواش – یک تحقیق کیفری در حال انجام درمورد پول‌شویی که منجر به دستگیری چند سیاستمدار و تاجر محلی بزرگ، به‌ویژه لوئیس ایناسیو لولا دا سیلوا (Luis Inácio Lula da Silva)، رئیس‌جمهور سابق برزیل شد – مجموعه داستان‌هایی را منتشر کرد.

اعتبار مورو – که برای برخی یک قهرمان ضدفساد و برای بعضی دیگر یک جنگنده ضدچپ است – مورد سؤال قرار گرفت؛ زیرا پیام‌های مبادله شده در تلگرام نشان می‌دهند که او در زمان قضاوت برخلاف قانون برزیل دادستان‌هایی را برای دادگاه لولا معرفی کرده است. حکم زندان لولا، باعث عزل او از ریاست جمهوری شد و بعد از آن بولسونارو، مورو را به عنوان وزیر دادگستری معرفی کرد.

مورو به عنوان یکی از بازرسان عملیات کارواش، ادعا می‌کند که پیام‌های چیز اشتباهی را نشان نمی‌دهند و فقط نصیحتی برای دادستان پرونده بوده است.

یک تحقیق جنایی نیز انجام شد؛ 4 دستگیری اعلام شده در این هفته، نتیجه تحقیقات دولت برزیل در مورد منبع این نفوذ است؛ این 4 هکر: دانیلو کریستیانو مارکز (Danilo Cristiano Marquez) 33 ساله، والتر دلگاتی نتو (Walter Delgatti Neto) 30 ساله، جودی گوستاوو هنریک الیاس سانتوس (Judy Gustavo Henrique Elias Santos) 28 ساله و سوئلن پریسیلا داُلیویرا (Suelen Priscilla de Oliveira) 25 ساله – همسر سانتوس – هستند.

با وجود دستگیری این هکرها با حکم موقت 5 روزه، اما آنها به‌طور رسمی متهم نشدند. محققان گفتند که در حساب‌های بانکی یکی از هکرها، حدود 600 هزار ریال برزیلی (160 هزار دلار) پیدا کردند که با درآمدشان مطابقتی نداشت.

گلن گرینوالد (Glenn Greenwald)، مؤسس The Intercept در واکنش به دستگیری هکرها در مجله برزیلی ویجا (Veja) اطلاعاتی از یک منبع ناشناس داد که هیج ارتباطی با حادثه پیام صوتی تلگرام ندارد. وی گفت که اولین ارتباط با این منبع یک ماه پیش از ادعای مورو مبنی بر هک بوده است.

این منبع ادعا کرده بود : «ما هکرهای تازه‌کار نیستیم؛ هک پیام صوتی با شیوه ما سازگار نیست؛ ما با هدف دسترسی به مکالمات، ایجاد عدالت و روشن شدن حقایق برای مردم به تلگرام دسترسی پیدا می‌کنیم.»

ترفند دسترسی به حساب تلگرام

تکنیک هک استفاده شده از سوی 4 متهم – همانطور که در دادگاه توضیح داده و باعث دستگیری آنها شد – اولین بار در سال 2017 به‌وسیله ران بارزیک (Ran Bar-Zik)، توسعه دهنده وب اسرائیلی در «Oath» ثبت شد. در حالیکه بارزیک حمله به یک حساب کاربری واتس‌آپ را توضیح داد، یک سال بعد، در سال 2018 مارتین ویگو (Martin Vigo)، محقق امنیتی با گسترش این روش نحوه استفاده هکرها از حساب‌های صوتی برای ربودن حساب‌ها در دیگر ارائه دهندگان خدمات مانند : فیس‌بوک، گوگل، توییتر، «WordPress»، «eBay» یا پی‌پال را نشان داد. ظاهراً این تکنیک با اکانت‌های تلگرام نیز کار می‌کند.

امروزه بیشتر خدمات پیام‌رسان فوری (IM) به کاربران اجازه دریافت رمزهای یکبار مصرف را از طریق اس‌ام‌اس و به عنوان پیام صوتی می‌دهد.

ایده کلی ترفند این است که کاربران برنامه‌های پیام‌رسان فوری دارای ایمیل صوتی روی تلفن خود، درصورت عدم تغییر رمز پیش‌فرض حساب ایمیل صوتی – که در بیشتر موارد «0000» یا «1234» است – در معرض خطر قرار می‌گیرند.

بارزیک گفت که اگر شماره تلفن مشغول تماس دیگری باشد یا اگر کاربر 3 بار پشت سر هم به تلفن خود پاسخ ندهد، رمزعبور یکبار مصرف از طریق پیام صوتی به حساب ایمیل صوتی کاربر مجدداً ارسال می‌شود.

به گفته مقامات برزیلی، این 4 هکر برنامه‌های تلگرام را روی تلفن‌های خود نصب و هنگام تأیید اعتبار شماره تلفن سیاستمداران مشهور را وارد کردند. آنها ضمن تماس با تلفن‌های هدف، برای اطمینان از وجود رمزهای یکبار مصرف در حساب صوتی پیام‌های ایمیل صوتی را برای فرآیند تأیید اعتبار درخواست کردند. سپس از ارائه دهندگان VoIP به منظور تقلید از شماره تلفن هدف به نام سرویس پست صوتی تلگرام و از یک رمز عبور پیش‌‎فرض برای دسترسی به حساب پست صوتی هدف استفاده کردند؛ سپس، رمز عبور را بازیابی و حساب تلگرام قربانی را به دستگاه دیگری متصل کردند؛ درنتیجه، توانستند به حساب و سابقه پیام‌ها دسترسی یابند.

این اولین باری است که از ترفند ربوده شدن پیام صوتی در برابر اهداف استفاده می‌‎شود. این روش تاکنون به‌طور گسترده از سوی گروه‌های جنایتکار مورد استفاده قرار نگرفته بود.

درمیان پیام‌های منتشر شده، گزارش‌های محلی نشان می‌دهند که بولسونارو درنظر دارد از تلفن همراه رمزگذاری شده ارائه شده از سوی آژانس اطلاعات برزیل (Abin) استفاده کند.

تا به امروز، رئیس جمهور و وزرایش استفاده گسترده‌ای از رسانه اجتماعی نداشته‌اند؛ کاری که با دستگاه‌های آژانس اطلاعات برزیل امکان‌پذیر نبود. برای ایجاد ارتباط فوری بین کاربران دستگاه‌های ارائه شده، آژانس برنامه آتنا (Athena) را با محتوای محافظت شده به‌وسیله پلتفرم رمزگذاری شده قابل حمل «PCPv2» توسعه داده است.

یکی دیگر از مکان‌هایی که هکرها از این ترفند استفاده می‌کنند، اراضی اشغالی است؛ جایی که سازمان امنیت سایبری ملی اسرائیل در اکتبر سال 2018 درباره افزایش حملات اعمال شده با این روش، هشدارهایی را ارسال کرد و از کاربران خواست تا رمزهای ورود به پست صوتی را تغییر دهند یا درکل پست صوتی شماره تلفن‌های همراه غیرفعال کنند.