باحثون أمنيون يحذرون من ان بوتات تيليغرام Telegram Bots اصبحت تستخدم كبنية التحتية للتحكم وقيادة البرمجيات الخبيثة Malware


من المهم ملاحظة أنه لا يتأثر جميع مستخدمي تطبيق تيليغرام  Telegram للرسائل المشفرة والبالغ عددهم أكثر من 180 مليون مستخدم حيث اكتشف باحثون من شركة فوربوينت سيكيورتي لابز Forcepoint Security Labs ان المشكلة تتمحور حول واجهة برمجة التطبيقات للبوت   Bot API المستخدمة من قبل مجموعة فرعية من مستخدمي تيليغرام.

و يستخدم هذا البوت للاتصالات التلقائية أو التحديثات بين الفرق مثل مجاميع من المطورين وكذلك المحادثات الآلية التي تشارك و تبادل الأخبار أو التحديثات.  ويقول الباحثون إن هذه الثغرة تتطلب هجوماً من نوع هجوم الوسيط او الرجل في المنتصف  Man-In-The-Middle (MiTM)  مع اعتراض القراصنة الاتصال بفاعلية لاستخراج المعلومات. وقد أبلغت فورسبوينت  شركة تيليغرام بتفاصيل هذه الثغرة.

يقول الباحثون: ” البرمجيات الخبيثة التي تستخدم  تيليغرام  كقناة للقيادة والتحكم عادةً ما تستخدم واجهة برمجة تطبيقات بوت تيليغرام Telegram Bot API  للاتصال” واضافوا: ” في سياق التحقيق في احد البرمجيات الخبيثة ، اكتشفنا وجود خلل كبير في الطريقة التي يتعامل بها تيليغرام مع الرسائل المرسلة عبر واجهة برمجة تطبيقات البوت”.

تعمل البرمجية الخبيثة المعنية ، التي يطلق عليها “GoodSender” بطريقة بسيطة: بمجرد إسقاطها في جهاز الضحية ، فإنها تنشئ مستخدمًا اداري جديد (ادمن administrator) وتفعّل خدمة التحكم بسطح المكتب عن بعد ، وفي الوقت نفسه تضمن عدم حظرها بواسطة جدار الحماية Firewall . اسم المستخدم للمستخدم الإداري الجديد هو ثابت ، ولكن يتم توليد كلمة المرور بشكل عشوائي.

كل هذه المعلومات , بما في ذلك اسم المستخدم وكلمة المرور وعنوان الايبي  IP الخاص بالضحية – يتم إرسالها إلى مشغل البرمجية الخبيثة (المهاجم) من خلال شبكة تيليغرام ، مما يوفر للمشغل إمكانية الوصول إلى كمبيوتر الضحية عبر بروتوكول التحكم بسطح المكتب عن بعد Remote Desktop Protocol (RDP)، كما يقول الباحثون.

وعلى عكس محادثات الدردشة الخاصة بها ، فإن بوتات تيليغرام غير محمية باستخدام بروتوكول التشفير الخاص بتيليغرام المعروف بـ MTProto ،  بدلاً عن ذلك ، يعتمد النظام الأساسي الخاص بالبوت على بروتوكول أمان طبقة الناقل (TLS) المستخدم في تشفير بروتوكول نقل النص التشعبي الآمن HTTPS   وهو ليس قويًا بما فيه الكفاية عند استخدامه لوحده.

وهكذا ، كما يقول الباحثون ، يمكن للمهاجم في موقع الرجل في المنتصف (MiTM) , مع القدرة على فك تشفير بروتوكول أمان طبقة الناقل (TLS) , الوصول إلى رمز البوت Bot Token   بالإضافة إلى معرف الدردشة chat_id  مما يؤدي إلى اختراق كامل لتيار البيانات ضمن الاتصال ، وكذلك كل الاتصالات السابقة.

يقول لوك سومرفيل Luke Somerville ، رئيس التحقيقات الخاصة في فوربس بوينت: “تُستخدم البوتات في تشغيل الاتصال بشكل تلقائي ، لكن هذا الاتصال ينتقل إلى مستخدمين بشريين”. “على سبيل المثال ، قد تقوم مجموعة من المطورين, الذين يعملون عن بُعد, بإعداد برنامج بوت بالطريقة نفسها التي يستخدم بها الأشخاص البوتات مع تطبيقات تييمز Teams او سلاك Slack لتحديث وتبليغ المجموعة بصورة اوتوماتيكية عندما يتم إكمال جزء من العمل او البناء.  إذا كان شخص ما قادرًا على القيام بهجوم الرجل في المنتصف  MiTM على هذه المحادثة ، فسيتم مشاهدة كل شئ من قبل المهاجم الذي يمكنه أيضًا عرض محفوظات الدردشة السابقة  بالكامل. لذلك ، إذا تم استخدام برامج بوت  تيليغرام في القنوات التي تشترك في معلومات خاصة أو سرية أو قيمة ، يمكن أن يراها مهاجم ما. ”

وتقول شركة فورسبوينت أن المخاطر التي قد تتعرض لها الشركات ستكون منخفضة ، لأن نوع المعلومات التي يتم مشاركتها عبر برنامج البوت قد يكون غير سري. ومع ذلك فإنه يحذر من أنه إذا استخدمه المطورون لمشاركة تحديثات للبرامج ، فمن الناحية النظرية ، قد يكون الايبي  IP معرض للخطر.

يقول الباحثون: “لاحظ أن تيليغرام هو تطبيق مجاني. يجب على أي مطورين أو مؤسسات تستخدمه أن يقيّموا مخاطر مشاركة معلومات سرية أو قيمة عبر هذا التطبيق. ”

تنصح مختبرات الأمان بأن المستخدمين المعنيين بهذا الأمر يتجنبون استخدام برامج البوتات الخاصة بتيليغرام  ولا يستخدمون القنوات والمجموعات التي يوجد بها بوت. وتقول فورسبوينت ” فيما يتعلق بالبرمجية الخبيثة من GoodSender , أو في الواقع أي برمجية خبيثة أخرى تستخدم بوت تيليغرام كآلية للتحكم والقيادة , نوصي ، كما هو الحال دائمًا ، بالمستخدمين التأكيد على وجود برامج حماية قوية مضادة للبرمجيات الخبيثة.”

 

 

 

المصدر:

 

https://www.forbes.com/sites/kateoflahertyuk/2019/01/17/watch-out-for-telegram-bots-security-researchers-warn/#624f7ca515db

 

ان كان لديكم اي استفسار او سؤال الرجاء مراسلتنا عبر التعليقات في اسفل الشاشة

للتعليقات

هذا الموقع يستخدم Akismet للحدّ من التعليقات المزعجة والغير مرغوبة. تعرّف على كيفية معالجة بيانات تعليقك.

CyberArabs عضو في:

للتبليغ

سجل في نشرتنا الشهرية

%d مدونون معجبون بهذه: