29.04.2016
Олег КозловскийВместе с Telegram разбирались в том, как произошел сегодня ночью взлом моего аккаунта и, вероятно,
Георгий Албуров. Это интересная история.
События развивались следующим образом:
В 2:25 ночи отдел технической безопасности МТС отключает мне сервис доставки SMS-сообщений.
Через 15 минут, в 2:40, кто-то с Unix-консоли по IP-адресу 162.247.72.27 (это один из серверов анонимайзера Tor) отправил в Telegram запрос на авторизацию нового устройства с моим номером телефона.
Мне было отправлено SMS с кодом, которое доставлено не было (сервис для меня отключен).
В 3:08 злоумышленник вводит код авторизации и получает доступ к моему аккаунту. Telegram присылает мне автоматическое уведомление об этом (которое я прочитаю только утром).
В 3:12 аналогичным образом с того же IP-адреса (т.е. через ту же сессию Tor) взламывается аккаунт Жоры Албурова.
В 4:55 отдел технической безопасности МТС вновь включает мне сервис доставки SMS.
Причину отключения и включения сервиса МТС мне назвать отказалось, предложив написать письменный запрос.
Главный вопрос в том, каким образом неизвестные получили доступ к коду, который был отправлен на SMS, но не доставлен. К сожалению, у меня есть только одна версия: через систему СОРМ или напрямую через отдел техбезопасности МТС (например, по звонку из "компетентных органов"). Если есть другие варианты - предлагайте.
Главная рекомендация для всех пользователей Telegram: подключите двухэтапную авторизацию (т.е. не только SMS, но и пароль). Это делается в настройках безопасности.
Главная рекомендация для Telegram: не принимать код авторизации, если не пришло подтверждение его доставки.
Комментарий к публикации Олега КозловскогоЭргил Осин
Олег, ну елки-палки, ты же большой мальчик, почему у тебя не был включен парольный фактор авторайза?
И, нет, то что с того же IPшника Торовской выходной ноды это не показатель того, что это было в рамках одной сессии, более того, скорее показатель того, что с разных, просто так совпало, у вас промежуток по времени, так что скорее всего уже выходная должна была бы смениться.
Абузу провайдеру которому принадлежит адрес выходной ноды ты написал?
2 часа назад
Михаил Усков
Чем поможет абуза?
2 часа назад
Эргил Осин
Michael Uskov абуза провайдеру, тот связывается с владельцем выходной ноды, тот поднимает логи. Тор можно раскрутить в обратную сторону, при желании.
Плюс а кто вам сказал, что использовался Тор вообще? Что факт использование одного выходного IPшника это не показатель того, что данная нода принадлежит глубокому бурению и что они просто не ломали со своей виртуалки/сервера?
1 · 2 часа назад
Олег Козловский
Во-первых, разница по времени была всего 4 минуты. Вероятность, что выходной узел Tor случайно совпадет, очень мала. Что это Tor, написано по самому IP-адресу, он зарегистирован в Нью-Йорке. Зачем светить свой сервер, если есть Tor? Раскручивать весь маршрут я не буду, да никто мне и не даст такой информации.
1 · 2 часа назад
Олег Козловский
Ну а насчет двухфакторной авторизации мой прокол, согласен. Я даже не знал, что она в Telegram есть.
2 часа назад
Эргил Осин
Oleg Kozlovsky я удивлен, что ты не проверил наличие двухфакторки, это было первое что я сделал когда подключился к Телеграму и ее отсутствие было одной из причин отказа от ВоцАппа.
Но, вообще, раскручивать, конечно, надо со стороны МТС клубок, если они вырубили тебе СМСки и СОРМ-2 или доступ сотрудников МТСа был использован для взлома, то это преступление.
1 · 2 часа назад
Михаил Усков
Эргил Осин, вот да, "начал делать грязные дела и поставил на своей машине Тор, чтоб закоспирироваться" - хорошая идея. Убедили.
1 час назад
***
Спецоперация ФСБVladislav Zdolnikov·29 апреля 2016 г.
Теперь, когда все моменты взлома стали понятны (спасибо поддержке Telegram), решил написать итоговый пост про целую спецоперацию, которую развернули для взлома telegram-аккаунтов Георгий Албуров и Олег Козловский (Oleg Kozlovsky).
Всё решили делать ночью, очевидно, чтобы не "спугнуть" сообщением о присоединении нового клиента и было достаточно времени, чтобы скачать всю переписку.
Первый этап: отключение доставку SMS-сообщений на SIM-карты жертв (об этом пишет поддержка Telegram на уровне оператора связи (МТС).
Важно то, что отключили именно для SIM-карт, но не для номеров, потому что у ФСБ есть дубликаты SIM-карт всех известных политических активистов, и на них это отключение не распространялось.
Вторым этапом запросили код авторизации с IP 162.247.72.27, который принадлежит одной из нод (точек выхода) сети TOR, введя номера телефонов в заранее подготовленные для скачивания логов мессенджеры на базе Telegram CLI (
https://github.com/vysheng/tg).
Важно уточнить, как работает авторизация дополнительного устройства в Telegram: сначала сообщение с кодом придёт на уже присоединенные устройства, а через некоторое время -- по SMS на номер, к которому привязан аккаунт.
Сообщение пришло в мессенджеры, но "клиенты" уже спали.
Возможно, операция сопровождалась наружным наблюдением за окнами квартир, чтобы убедиться в том, что "клиенты" уже легли спать.
Затем, злоумышленники получили SMS-сообщение на дубликаты SIM-карт, либо перехватили на уровне SMS-шлюза МТС, т.е. СОРМ (злодеи и так работают с ними, это не проблема).
На третьем этапе, хакеры с помощью полученного таким образом сообщения, подключились специально-подготовленным для выкачки логов клиентом Telegram, решили замести следы, удалив сообщение с кодом, которое пришло на втором этапе на другие устройства, чтобы жертва ненароком, проснувшись полистать твиттер (я уверен, Жорж это делает даже во сне), не спалила жуликов.
Дальше, очевидно, они выкачали логи диалогов и чатов.
Так бы и не узнали о взломе, если бы не одна особенность работы Telegram: сообщение о добавлении нового устройства удаляется автоматические и только после прочтения на каждом устройстве, поэтому им не удалось удалить его “глобально”,это пояснили в поддержке Telegram.
Нет никаких сомнений, что эта целая спецоперация была организована и частично выполнена именно ФСБ. Ни у какой больше организации нет возможности ночью отключать и включать услугу SMS через отдел технической безопасности федерального оператора связи.
Олег Козловский докопался до МТС и узнал точное время включения и отключения, и как точно это происходило:
https://www.facebook.com/kozlovsky/posts/10208948934790884