Prancūzijos vyriausybės pranešimų tarnyba pažeidė paskyros užgrobimo ataką

Prancūzijos vyriausybės skaitmeninių reikalų direktoratas DINUM perspėjo, kad įsilaužėliai pasinaudojo užgrobta vartotojo paskyra, kad įsilaužtų į Prancūzijos vyriausybės šifruotų pranešimų platformą „Tchap“.

DINUM, bendradarbiaudama su ANSSI (Prancūzijos kibernetinio saugumo agentūra), sukurta 2018 m., Tchap yra momentinių pranešimų paslauga ir bendradarbiavimo įrankis, pagrįstas decentralizuotu Matrix protokolu, sukurtas išskirtinai Prancūzijos viešajam sektoriui.

Dabar „Tchap“ pasiekė daugiau nei 300 000 naudotojų per mėnesį ir daugiau nei 500 000 atsisiuntimų „Google Play“ parduotuvėje po to, kai ministras pirmininkas François Bayrou įpareigojo naudoti „Tchap“ ir uždraudė užsienio programėles, skirtas visiems valstybės tarnautojams komunikuoti darbe 2025 m. rugpjūčio pradžioje.

DINUM pirmadienį atskleidė, kad ANSSI sekmadienį aptiko Tchap pažeidimą ir pranešė, kad grėsmės veikėjas gavo prieigą prie saugios momentinių pranešimų platformos naudodamasis pažeista vartotojo paskyra.

Prancūzijos skaitmeninių reikalų direktoratas taip pat įspėjo Prancūzijos duomenų apsaugos instituciją CNIL apie incidentą dėl galimo kai kurių vartotojų pokalbių metu pasidalytų asmeninių duomenų, kuriuos užpuolikas galėjo pasiekti, atskleidimo ir įspėjo visus Tchap vartotojus, primindamas, kad viešieji pokalbių kambariai yra prieinami bet kuriam vartotojui ir nėra užšifruoti.

„Šiame etape buvo identifikuota paskyra, iš kurios kilo kenkėjiškos užklausos. Ji buvo nedelsiant užblokuota, kad būtų pašalinta nuolatinė užpuoliko prieiga ir būtų galima atlikti išsamią duomenų, kuriuos jie galėjo pasiekti, analizę. Tyrimas tęsiamas, įskaitant įvykių žurnalų tyrimą, siekiant nustatyti pokalbius, kuriuos užpuolikas galėjo pasiekti, ir išfiltruotų duomenų pobūdį”, – teigiama DINUM pirmadienio pranešime spaudai.

„Visiems Tchap vartotojams išsiųstas pranešimas, primenantis, kad viešą pokalbių kambarį gali rasti ir prie jo prisijungti bet kuris vartotojas, o jo turinys nėra užšifruotas. Vadovaujantis Tchap paslaugų teikimo sąlygomis, viešuose pokalbių kambariuose negalima keistis asmenine, neskelbtina ar konfidencialia informacija: tokie mainai turėtų būti skirti tik privatiems pokalbių kambariams.”

Nors DINUM nepaskelbė jokios papildomos informacijos apie šį pažeidimą, grėsmės veikėjas savaitgalį prisiėmė atsakomybę už incidentą, pasidalijo pavogtų failų pavyzdžiu ir teigė, kad prieigą prie platformos gavo po socialinės inžinerijos atakos.

„Socialinės inžinerijos būdu sukūriau galiojančią švietimo skilties paskyrą (matrix.agent.education.tchap.gouv.fr). Viskas, kas nurodyta toliau, yra tai, ką ta paskyra gali pasiekti, kitose skeveldrose bus daugiau“, – sakė jie.

​Jie tvirtina, kad pavogė užkoduotus LDAP kredencialus, kurie tariamai nutekėjo per PowerShell scenarijų, kuriuo pasidalino Prancūzijos mokesčių institucijos regiono direktorius, ir daugiau nei 13,5 GB dokumentų ir medijos failų, kuriais dalijosi valstybės tarnautojai, naudodamiesi Tchap paslauga.

Taip pat tariamai grėsmės veikėjai iškrapštė beveik 650 000 pranešimų ir informacijos daugiau nei 73 000 paskyrų, įskaitant el. pašto adresus, organizacijos informaciją, susitikimų nuorodas ir paskyros bei įrenginio metaduomenis.

„Kiekvieną failą, kada nors bendrinamą „Tchap“, bet kuriame skevelde, galima atsisiųsti be prieigos rakto“, – pridūrė jie. „Medijos ID gaunami iš pranešimų. Gavę pranešimą su medijos URL galite laisvai paimti failą, neatsižvelgdami į tai, kurioje skiltyje jis yra.”

„BleepingComputer“ susisiekė su DINUM, turėdamas klausimų apie incidentą, tačiau atsakymas nebuvo iš karto gautas.

Praėjusį mėnesį Prancūzijos valdžios institucijos sulaikė 15-metį, įtariamą, pardavinėjus duomenis, pavogtus per balandžio mėnesio kibernetinę ataką prieš ANTS (Agence nationale des titres sécurisés), šalies oficialių asmens tapatybės ir registracijos dokumentų išdavimo ir tvarkymo agentūrą.