Ще кілька років тому Telegram став для кіберзлочинців майже універсальним рішенням. Він закривав одразу кілька задач: канал керування (С2), збір викрадених даних і збереження результатів атак. І все це — без необхідності піднімати власну інфраструктуру.
Саме ця простота зробила Telegram настільки популярним у зловмисників. Але водночас вона заклала і фундамент проблеми, яка зараз починає проявлятися все сильніше.
У дослідженні Maor Dayan показано досить неприємну для зловмисних угрупувань річ: як тільки токен бота “засвітився”, контроль над каналом фактично може отримати будь-хто, хто дістанеться до нього першим. А такі витоки — не рідкість. Токени регулярно знаходять у зразках шкідливого ПЗ, у відкритих або злитих “фішингових” наборах, а також через сервіси на кшталт FOFA чи urlscan.
У цей момент сценарій стає передбачуваним. Дослідник підключається до API, отримує доступ до повідомлень, які надходять від заражених систем або жертв фішингу, і може або просто читати ці дані або повністю зламати логіку каналу. У деяких випадках — навіть перенаправити потік інформації.
“Once a bot token is exposed, the entire pipeline becomes controllable by anyone who gets to it first.”
Ключовий момент тут у тому, що це більше не поодинокі випадки. Такі дії вже можна виконувати масово і дуже швидко. Фактично, мова йде про ситуацію, коли інфраструктура атак може руйнуватися за секунди після її викриття. І це кардинально змінює баланс.
Для зловмисників це означає втрату довіри до власних інструментів. Канал, який вважався стабільним, у будь-який момент може перестати бути їхнім. Дані можуть перехоплюватися, а сама операція — зриватися посередині.
"Disruption can happen in milliseconds, at scale.”
Реакція на це вже помітна. Токени починають змінюватися частіше, життєвий цикл ботів скорочується, зменшується обсяг збережених даних. Але це виглядає радше як спроба латати проблему, а не вирішити її. Бо сама модель — використання публічного сервісу як C2 — залишається вразливою.
Логічним наступним кроком стає відхід від Telegram. І цей процес, скоріш за все, буде доволі швидким. Замість простих ботів повернуться більш класичні підходи: власні сервери керування, домен сервера постійно змінюється, використання CDN як проксі (Cloudflare), а також складніші схеми обфускації. Паралельно можуть активніше використовуватися децентралізовані підходи або розподілені канали зв’язку.
Це має прямі наслідки для ринку threat intelligence. Значна частина сучасних рішень фактично будується на можливості “підглядати” за зловмисниками через їхні ж помилки — зокрема через відкриті Telegram-канали, неправильно налаштовані панелі або доступні сховища даних.
“This model depends on attackers continuing to make OPSEC mistakes.”
І саме ця передумова зараз починає зникати. Якщо зловмисні угрупування переходять на більш закриту і контрольовану інфраструктуру, обсяг доступних для перехоплення даних неминуче зменшується. Відповідно, сервіси, які будували свою цінність на таких джерелах, можуть зіткнутися з серйозним падінням видимості.
А що ж для команд реагування? Для них це означає повернення до “важчої” роботи. Менше буде швидких результатів за рахунок перехоплення готових даних і більше — глибокого аналізу. Знову стають критично важливими розбір шкідливого коду, відстеження інфраструктури зловмисних угрупувань, аналіз мережевої активності та проактивний пошук загроз.
Фактично, ми спостерігаємо завершення короткого періоду, коли значну частину інформації можна було отримати відносно легко. Далі ця модель працюватиме значно гірше. І це означає, що підходи до збору розвідданих доведеться переглядати.
Коментарі
Коментарів ще немає. Будьте першим!
Залишити коментар
Ваша електронна адреса не буде опублікована.