Пользователям популярного в Telegram чат-бота для постинга отложенных сообщений Fleep Bot следует удалить его из каналов после хакерского взлома, заявили РБК опрошенные эксперты.
21 июля неизвестные хакеры взломали Fleep Bot, в результате чего в российских и украинских телеграм-каналах стали появляться сообщения с призывами к украинцам сложить оружие и выйти на митинги. Бот-рассылка зафиксирована как в украинских, так и в российских каналах. «Это сообщение нам придется удалить, а некоторых из нас даже уволят или посадят, но мы не можем больше это терпеть», — с этой фразы начинаются сообщения из рассылки.
Как сообщил РБК руководитель департамента Threat Intelligence экспертного центра Positive Technologies Денис Кувшинов, скорее всего, был взломан автор чат-бота или компания, которая его администрировала. «В частности, мог утечь ключ токен для администрирования этого бота, в результате чего контроль над ботом получили злоумышленники и смогли сделать вот такую рассылку», — сказал он.
Бизнес-консультант по безопасности Positive Technologies Алексей Лукацкий считает, что для защиты от подобной угрозы нужно исключить данный чат-бот из списка администраторов канала и найти другой бот отложенного постинга или публиковать заметки в ручную. При этом, по его словам, владельцам чат-ботов будет непросто доказать безопасность их ресурса, так как это потребует дополнительных инвестиций, что в свою очередь скажется на тарифах. «Поэтому владельцам телеграм-каналов надо серьезно думать, что для них важнее — экономия, удобство или безопасность», — отметил эксперт.
Несмотря на то, что Fleep Bot взаимодействует через Telegram, он является установленной на сервере программой, которую можно взломать и изменить текст для постинга, сообщил РБК технический директор «Гарда WAF» Лука Сафонов. Он призвал владельцев телеграм-каналов вести учет подобных сервисов и быть уверенными в их безопасности.
«По сути, это была классическая Software Supply Chain Attacks (SSC, атака на цепочки поставок программного обеспечения). Это, когда доступ к целевой системе атакующий получает не напрямую, а через внедрение в какой-либо используемый организацией продукт или компонент, которому она доверяет», — рассказал он.
Лукацкий вместе с тем сравнил нынешний взлом с ситуацией в начале 2022 года, когда «во многих рассылках от имени российских компаний были опубликованы проукраинские тексты», а позднее оказалось, что владельцы этих сервисов были из Украины.
В марте 2022 года хакеры взломали бот для сбора статистики Crosser Bot. В результате инцидента призывы в поддержку Украины появились, в частности, в телеграм-каналах военкоров Евгения Поддубного, Александра Коца, страницы «ОколоКремля», «Варшавская Русалка» и других.