Аналіз та наслідки зламу клона TeleMessage Signal

Головна — News — Аналіз та наслідки зламу клона TeleMessage Signal

4 травня 2025 року компанія TeleMessage, яка є дочірнім підприємством Smarsh з Портленда, тимчасово призупинила роботу свого модифікованого клієнта Signal після того, як з’явилися повідомлення про несанкціонований доступ до архівованих комунікацій. Цей додаток, що використовувався високопосадовцями уряду США, зокрема колишнім радником з національної безпеки Майклом Уолцем, пропонував користувачам вигляд надійного шифрування Signal, водночас перенаправляючи метадані повідомлень і їхній вміст в централізований архів.

Передумови: Від придбання до впровадження в уряді

TeleMessage, ізраїльська компанія, що спеціалізується на архівуванні для платформ безпечного обміну повідомленнями, була придбана Smarsh у лютому 2024 року. Smarsh, що надає рішення для моніторингу та архівування на базі хмари для фінансових, юридичних та державних клієнтів, інтегрував технології TeleMessage для захоплення SMS, WhatsApp, WeChat, Telegram та спеціально скомпільованого клієнта Signal.

Архітектура: TeleMessage обгортає вихідні SDK Signal для Android та iOS, вставляючи хуки в канал обміну повідомленнями для перенаправлення розшифрованих даних до архіву через HTTPS або VPN-тунель.

Впровадження: Державні установи підписуються на TeleMessage в регіонах AWS GovCloud або Azure Government, ізолюючи дані в інфраструктурі, контрольованій США.

Відповідність: Рішення стверджує, що зберігає “усі функції та шифрування Signal”, одночасно захоплюючи метадані — часові мітки, ідентифікатори відправника/отримувача — та відкритий вміст для аудиту та юридичних розслідувань.

Related topic

Чоловік визнав провину у нападі на працівника Disney з використанням ШІ

2025-05-06

Деталі порушення

Розслідувальний звіт 404 Media, опублікований 3 травня, виявив, що зловмисник витратив лише кілька хвилин на експлуатацію незахищеного API-інтерфейсу, який не мав належної автентифікації та обмеження швидкості. Нападник отримав вміст повідомлень, журнали групових чатів та медіафайли з бекенду TeleMessage, включаючи переписки між працівниками митниці та прикордонної охорони США (CBP), керівниками Coinbase та іншими фінансовими установами.

Вектор вразливості: RESTful архівний сервіс, доступний в публічному інтернеті, використовував стандартні облікові дані та приймав API-ключі через параметри URL, що дозволяло обходити директорії.

Витік даних: Хакер отримав приблизно 1,2 ТБ даних, включаючи журнали чатів у форматі JSON, записи голосових дзвінків (кодек Opus) та зашифровані вкладення.

Уразливості шифрування: Хоча транспортне шифрування Signal (TLS 1.3) залишалося недоторканим, розшифровані дані зберігалися у відкритому вигляді на сервері архіву, що порушувало обіцянки шифрування від кінця до кінця.

Негайна реакція та призупинення послуг

Після підтвердження несанкціонованого доступу 4 травня, Smarsh опублікувала офіційну заяву:

“TeleMessage розслідує нещодавній інцидент безпеки. Після виявлення ми швидко вжили заходів для його локалізації та залучили зовнішню компанію з кібербезпеки для підтримки нашого розслідування. З метою перестороги всі послуги TeleMessage були тимчасово призупинені. Всі інші продукти та послуги Smarsh залишаються повністю функціональними.”

Smarsh залучила провідну команду реагування на інциденти з досвідом у федеральній криміналістиці, що включало реверс-інжиніринг скомпрометованого бінарного коду та аналіз живої пам’яті архівних серверів. Тим часом, офіційний вебсайт TeleMessage видалив усі згадки про Signal, відключивши посилання для завантаження та рекламні матеріали, пов’язані з їхніми пропозиціями на базі Signal.

Related topic

Атака на постачальницький ланцюг: електронна комерція під загрозою

2025-05-05

Технічний аналіз атаки

Компанія з кібербезпеки RedShield Labs, залучена Smarsh, надала первісний аналіз:

Повторне використання токенів: Нападник скористався статичним токеном OAuth2, налаштованим у мобільному додатку, для автентифікації API-запитів без перевірок багатофакторної автентифікації.

Неправильна конфігурація журналювання: Архівні сервери фіксували облікові дані користувачів і дані, що порушувало принцип найменших привілеїв і викривало секрети в відкритих журналах.

Недостатнє шифрування даних на зберіганні: Незважаючи на заяви про шифрування AES-256 для збережених архівів, головний ключ зберігався разом з даними на одному NFS-ресурсі, що полегшувало розшифрування після порушення.

Наслідки для урядового обміну повідомленнями

Майкл Уолц, сфотографований під час використання клієнта TeleMessage Signal на зустрічі в Білому домі 1 травня 2025 року, тепер змушений перейти на інші безпечні канали. Його облікові дані не були безпосередньо скомпрометовані, але цей інцидент підкреслює системні ризики, пов’язані з доповненням систем кінцевого шифрування сторонніми архівами.

Цілісність комунікацій національної безпеки може бути підірвана через помилки в конфігурації постачальників та ланцюга постачання.

Архівовані журнали чатів — тепер відомо, що вони не мають справжнього шифрування від кінця до кінця — можуть бути використані для шпигунства або юридичних розслідувань у чутливих дипломатичних операціях.

Related topic

Завершення ери Mr. Deepfakes: Падіння гіганта фальшивого контенту

2025-05-05

Думки експертів та подальші кроки

Експерт з криптографії доктор Аліса Кумар з Інституту безпечного обміну повідомленнями прокоментувала:

“Коли ви обгортаєте безпечний клієнт додатковими архівними хуками, ви вводите нові межі довіри. Кожен додатковий API-інтерфейс повинен бути захищений на такому ж рівні, як і оригінальний протокол шифрування.”

TeleMessage зобов’язалася:

Провести повний аудит на основі контролів NIST SP 800-53.

Впровадити модулі апаратної безпеки (HSM) для ізоляції ключів шифрування.

Запровадити сегментацію мережі з нульовою довірою, щоб обмежити бічний рух у своїй хмарній інфраструктурі.

Уроки, що були засвоєні, та найкращі практики

Організації, які використовують сторонні клієнти обміну повідомленнями з архівними функціями, повинні:

Проводити незалежні тестування на проникнення для додатків, наданих постачальниками, перед їх впровадженням.

Забезпечити шифрування від кінця до кінця, яке поширюється до місця архівування, використовуючи зберігання ключів на стороні клієнта — ніколи не централізоване зберігання ключів.

Регулярно змінювати API-токени та облікові дані, а також використовувати облікові дані з апаратною підтримкою (FIDO2/WebAuthn) для автентифікації між сервісами.

Related topic

Паролі більше не потрібні: технічні аспекти та компроміси Microsoft

2025-05-02

Останні новини

Станом на 6 травня Агентство кібербезпеки та безпеки інфраструктури США (CISA) розпочало розслідування інциденту з TeleMessage, координуючи свої дії з Кібернетичним підрозділом ФБР. Smarsh планує відновити послуги поступово до початку червня після впровадження вдосконаленого шифрування та контролю моніторингу.

Звіт підготував Джон Бродкін, за участю аналітиків з кібербезпеки RedShield Labs та експертних коментарів доктора Аліси Кумар.