После взлома приложения хакеры получили доступ к данным американских чиновников, показал анализ Reuters

Хакер, взломавший в начале месяца коммуникационный сервис, которым пользовался бывший советник Трампа по национальной безопасности Майк Уолтц, перехватил сообщения более широкого круга американских чиновников, чем сообщалось ранее, согласно обзору Reuters.

Агентство Reuters обнаружило более 60 уникальных правительственных пользователей платформы обмена сообщениями TeleMessage в кэше утечки данных, предоставленном Distributed Denial of Secrets, американской некоммерческой организацией, чья заявленная миссия заключается в архивировании взломанных документов в интересах общества. В кэш вошли материалы, полученные от ликвидаторов последствий стихийных бедствий, сотрудников таможни, нескольких дипломатических работников США, по крайней мере одного сотрудника Белого дома и сотрудников Секретной службы. Сообщения, изученные агентством Reuters, охватывают примерно однодневный период времени, закончившийся 4 мая, и многие из них были фрагментарными.

Когда-то TeleMessage была малоизвестна за пределами правительственных и финансовых кругов, но привлекла внимание СМИ после того, как 30 апреля на фотографии Reuters было показано, как Уолтц проверяет версию TeleMessage в приложении Signal, ориентированном на конфиденциальность, во время заседания кабинета министров.

Хотя Reuters не смогло проверить все содержимое TeleMessage, в более чем полудюжине случаев агентство смогло установить, что телефонные номера в утечке данных были правильно отнесены к их владельцам. Один из получателей перехваченных сообщений, претендент на получение помощи от Федерального агентства по управлению чрезвычайными ситуациями, подтвердил Reuters подлинность просочившегося сообщения; финансовая фирма, чьи сообщения были аналогичным образом перехвачены, также подтвердила их подлинность.

В результате ограниченного анализа Reuters не обнаружило ничего, что могло бы показаться явно конфиденциальным, и не выявило чатов Уолтца или других чиновников кабинета. Однако некоторые чаты, похоже, касались планов поездок высокопоставленных правительственных чиновников. Одна из групп в Сигнале, «POTUS | ROME-VATICAN | PRESS GC», по-видимому, касалась логистики мероприятия в Ватикане. В другой, судя по всему, обсуждалась поездка американских чиновников в Иорданию.

Агентство Reuters обратилось за комментариями ко всем лицам, которых оно смогло идентифицировать; некоторые подтвердили свои личности, но большинство не ответили или переадресовали вопросы соответствующим агентствам.

Reuters не удалось выяснить, как TeleMessage использовался каждым из агентств. Работа сервиса, который заимствует версии популярных приложений и позволяет архивировать их сообщения в соответствии с правительственными правилами, была приостановлена с 5 мая, когда он был отключен «из избытка осторожности». Владелец TeleMessage, компания Smarsh из Портленда, штат Орегон, занимающаяся цифровыми коммуникациями, не ответила на просьбу прокомментировать утечку данных.

Белый дом в своем заявлении сообщил, что он «в курсе инцидента с кибербезопасностью в Smarsh», но не стал комментировать использование платформы. Государственный департамент не ответил на сообщения. Секретная служба заявила, что продукты TeleMessage использовались «небольшой группой сотрудников Секретной службы» и что она изучает ситуацию. FEMA сообщило в электронном письме, что у него «нет доказательств» того, что его информация была скомпрометирована. На копии внутренних сообщений FEMA не ответило. Представитель CBP повторил предыдущее заявление, отметив, что отключил TeleMessage и проводит расследование взлома.

Данные о заключении федеральных контрактов показывают, что в последние годы контракты с TeleMessage заключали Государственное и Министерство здравоохранения, а также Центры по контролю за заболеваниями. Представитель CDC сообщил Reuters в электронном письме в понедельник, что агентство опробовало программное обеспечение в 2024 году, чтобы оценить его потенциал для требований управления записями, «но обнаружило, что оно не соответствует нашим потребностям». Статус других контрактов не уточняется. Через неделю после этого взлома американское агентство по киберзащите CISA рекомендовало пользователям «прекратить использование продукта», не допуская никаких смягчающих инструкций по использованию приложения от Smarsh.

Джейк Уильямс, бывший киберспециалист Агентства национальной безопасности, говорит, что, даже если перехваченные текстовые сообщения были безобидными, обилие метаданных — кто и когда вел общался в чатах — представляет собой риск для контрразведки.

«Даже если у вас нет содержания, это доступ к разведданным самого высокого уровня», — сказал Уильямс, который сейчас является вице-президентом по исследованиям и разработкам в компании Hunter Strategy, занимающейся вопросами кибербезопасности.