تلگرام، محبوبترین پلتفرم و پیامرسان ارتباطی مجرمان سایبری
اخبار داغ فناوری اطلاعات و امنیت شبکه
تلگرام همچنان رهبر بلامنازع در ارتباطات مجرمان سایبری است. تجزیهوتحلیل اخیر بیش از ٨٠ میلیون شناسه منحصربه فرد و لینک به کانالهای تلگرامی که در فرومهای زیرزمینی به اشتراک گذاشته شده است، رقمی را نشان میدهد که از رقبایی مانند Discord (٢/٨ میلیون لینک) و Session (٤۵٠٠٠٠ شناسه) بیشتر است.
درحالیکه دستگیریها و تغییر سیاستهای اخیر گمانهزنیهایی را در مورد مهاجرت این پلتفرم ایجاد کرده است، تجزیهوتحلیل ١/٢ میلیارد نقطه داده نشان میدهد که زیرساخت تلگرام همچنان از عملیات پیچیده از هماهنگی باجافزار گرفته تا بازارهای دادههای سرقتشده از طریق اکوسیستم بات مبتنی بر API و قابلیتهای اشتراکگذاری فایل ٤ گیگابایتی، پشتیبانی میکند.
تداوم این پلتفرم، تعادل پیچیده بین امنیت عملیاتی (OPSEC) و عملکرد در ارتباطات زیرزمینی را برجسته میکند.
علیرغم اینکه پروتکل MTProto 2.0 تلگرام فاقد تایید رمزگذاری مستقل است، ترکیبی از پیامهای همگامسازی ابری، سیستمهای تماس مبتنی بر نام کاربری و تغییرات کلاینت دسکتاپ (مانند لایههای رمزگذاری سفارشی) آن را برای عملیات مجرمانه که نیاز به دسترسی و ناشناس بودن اولیه دارند، ایدهآل میسازد.
تلگرام، پیامرسان شماره یک مورد استفاده مجرمان سایبری
تجزیهوتحلیل خوشهای Flare نشان میدهد که ٧٨ درصد از اپراتورهای باجافزار پرمخاطب، کانالهای تلگرام را برای مذاکرات عمومی حفظ میکنند درحالیکه از Tox (qTox-1.18.3-mod) برای ارتباطات حساس بهره میبرند.
این استراتژی چند برنامهای نمونهای از رویکرد امنیتی لایهای رایج در گروههای تهدید مداوم پیشرفته (APT) است.
باتوجهبه منشنهای انجمن دارک وب، بازداشت پاول دوروف، مدیرعامل تلگرام در فرانسه در آگوست ٢٠٢٤ در ابتدا باعث افزایش ٢٣ درصدی در پذیرش پروتکل پلتفرم سیگنال شد.
بااینحال، تلهمتری Flare نشان میدهد که میزان استفاده واقعی از پلتفرم سیگنال تا ژانویه ٢٠٢۵ به ٤/٣ درصد از کل ارتباطات مجرمانه رسیده است و اکثر مهاجران پس از اینکه گزارش شفافیت سپتامبر ٢٠٢٤ نشان داد که تنها ٠/٤ درصد از درخواستهای نظارت از سوی دولتهای دموکراتیک بوده است، به تلگرام بازگشتهاند.
زیرساختهای حیاتی همچنان در کانالهای تلگرامی مانند "HiddenMarket_Reloaded" (١١٨٠٠٠ مشترک) و "LockBit_Official" (٩٢٠٠٠ مشترک) متمرکز است که اقدامات ضد بررسی حقوقی را اجرا کردهاند:
• حذف خودکار پیام: msg.delete (revoke=True) در دستههای API تلگرام.
• دسترسی جغرافیایی: قوانین NGINX ترافیک غیر Tor را مسدود میکند.
• احراز هویت پویا: اسکریپتهای پایتون فواصل 2FA را تصادفی میکند.
تخصص پلتفرم در زیربخشهای جرایم سایبری
تجزیهوتحلیل ٤/٧ میلیون پست انجمن، تخصص پلتفرم را به وضوح نشان میدهد. اکوسیستم @InfostealerBot به تنهایی در تلگرام روزانه بیش از ١٢٠٠٠ اعتبارنامه سرقت شده را از طریق گردش کار خودکار ترکیبی از تزریق sqlmap و ویژگی InlineQuery تلگرام پردازش میکند.
در همین حال، تجزیهوتحلیل فروم XSS نشان میدهد که کاربران Tox از تغییرات لایبرری toxencryptsave برای پیادهسازی OPSEC درجه و سطح نظامی استفاده میکنند.
علیرغم اینکه عملیات Darknet ٢٠٢۵ اینترپل ٣٤ گروه کاردینگ مبتنی بر تلگرام را توقیف کرد، معماری توزیع شده این پلتفرم امکان بازسازی سریع از طریق کانالهای پشتیبان را فراهم میکند.
تجزیهوتحلیل حقوقی و قانونی دستگاههای توقیف شده نشان میدهد که مهاجمان پیشرفته اکنون تلگرام را با نمونههای ماتریس خود میزبان (synapse-admin 1.80) را با استفاده از پیادهسازی رمزنگاری اصلاحشده Olm ترکیب میکنند.
اینرویکرد ترکیبی، تلاشها در راستای استراق سمع را پیچیده میکند و درعینحال راحتی تلگرام را برای اپراتورهای سطح پایین حفظ میکند.
با بروزرسانی آتی تلگرام که نویدبخش رمزگذاری مقاوم در برابر کوانتومی از طریق پروتکل PQXDH است، به نظر میرسد بازی موش و گربه بین مجرمان سایبری و محققان تا سال ۲۰۲۶ تشدید شود.
بااینحال، موقعیت تثبیت شده این پلتفرم در گردشهای کاری جنایی نشان میدهد که هرگونه مهاجرت نهتنها به امنیت بالاتری نیاز دارد، بلکه نیازمند تکرار استفاده اکوسیستم منحصربه فرد آن از باتها، کانالها و نصب بدون سختی و چالشهای جدی میباشد.
برچسب ها: Olm, synapse-admin, InfostealerBot, Flare, Messsenger, PQXDH, OPSEC, Tox, Platform, پلتفرم, Cybercriminal, Signal, Tor, Bot, APT, بات, Discord, XSS, cybersecurity, MTProto , Telegram, جاسوسی سایبری, امنیت سایبری, جنگ سایبری, تلگرام, Cyber Attacks, حمله سایبری, news