حدد فريق CloudSek جهة فاعلة ضارة تروج لروبوت Telegram الذي يوفر الوصول إلى المعلومات الشخصية للأفراد الهنود الذين ورد أنهم سجلوا للحصول على اللقاحات من خلال بوابة Cowin. ادعى الروبوت أنه يقدم بيانات معلومات التعريف الشخصية (PII).
Updated on
August 19, 2025
Published on
June 12, 2023
Read MINUTES
6
Subscribe to the latest industry news, threats and resources.
كلاود سيكمنصة المخاطر الرقمية السياقية للذكاء الاصطناعي الجيل السادس عشر اكتشفت جهة تهديد تعلن عن روبوت تيليجرام يقدم بيانات معلومات التعريف الشخصية (PII) للمواطنين الهنود الذين يُزعم أنهم سجلوا اللقاحات من بوابة Cowin.
ملاحظة: يخلص تحليل CloudSek إلى أن الجهات الفاعلة في مجال التهديد لا يمكنها الوصول إلى بوابة Cowin بأكملها أو قاعدة بيانات الواجهة الخلفية. استنادًا إلى الحقول المطابقة من بيانات Telegram والحوادث التي تم الإبلاغ عنها سابقًا والتي تؤثر على العاملين الصحيين في المنطقة، نفترض أن المعلومات قد تم مسحها من خلال بيانات الاعتماد المخترقة هذه. يجب التحقق من المطالبات بشكل فردي.
في 13 مارس 2022، أعلن أحد ممثلي التهديد في منتدى الجرائم الإلكترونية الروسي عن الوصول المخترق على بوابة Cowin في منطقة تاميل نادو وادعى أنه اخترق قاعدة بيانات Cowin. بعد التحليل، اكتشفنا أن الاختراق كان من قبل عامل صحي وليس في الواقع على البنية التحتية. يتطابق المحتوى المعروض على لقطة الشاشة مع روبوت Telegram المذكور في الوسائط على النحو التالي:
اسم الفرد
رقم الهاتف المحمول
إثبات الهوية
رقم التعريف
عدد الجرعات المكتملة.
علاوة على ذلك، هناك العديد من بيانات اعتماد العاملين في مجال الرعاية الصحية التي يمكن الوصول إليها على الويب المظلم لبوابة Cowin. ومع ذلك، تنبع هذه المشكلة بشكل أساسي من التدابير الأمنية غير الكافية لنقطة النهاية المطبقة للعاملين في مجال الرعاية الصحية، بدلاً من أي نقاط ضعف متأصلة في أمن البنية التحتية لشركة Cowin.
URL
Username
Password
https://admin.cowin.gov.in/login
9444****44
**********
https://admin.cowin.gov.in/login
9444****44
**********
الصورة 1: منشور Threat Actor على قنوات Telegram للإعلان عن قاعدة بيانات CoWin في عام 2022
كشف تحليل Humint الحصري عن البيانات التي تنتمي إلى منطقة تاميل نادو وادعى الممثل الوصول إلى مركز هذه المنطقة الفردية في تلك اللحظة.
التحليل والإسناد
معلومات من قناة تيليجرام
تم تقديم روبوت بيانات Covid بواسطة قناة تسمى هاك فور ليرن، والتي كثيرًا ما شاركت البرامج التعليمية والموارد والروبوتات الخاصة بالقرصنة ليتمكن الأفراد من الوصول إليها وشرائها. في البداية، كان الروبوت متاحًا للجميع لاستخدامه، ولكن تمت ترقيته لاحقًا ليكون حصريًا للمشتركين.
قدمت النسخة المطورة من الروبوت بيانات تحديد الهوية الشخصية، بما في ذلك أرقام بطاقة Aadhar، وبطاقة Pan، ومعرف الناخب، والجنس، واسم مركز التطعيم، بناءً على رقم الهاتف الذي تم إدخاله.
المصدر الحقيقي لبوت Telegram غير معروف، من المهم ملاحظة أن الروبوت قد عرض الإصدار 1 الذي يعرض المعلومات الشخصية فقط بناءً على رقم الهاتف. بينما ادعى الإصدار 2 أنه روبوت Truecaller الذي يحتوي أيضًا على معلومات شخصية للأفراد.
الروبوت معطل حاليًا وقد يظهر لاحقًا كما ذكر مسؤول القناة.
لقطة من مجموعة تيليجرام hak4learn
توفر القناة، التي تم إنشاؤها في 11 ديسمبر 2021، مجموعة متنوعة من روبوتات Telegram، مثل روبوت Truecaller لاسترداد معلومات الموقع بناءً على أرقام الهواتف، وروبوت OTP، وروبوت UPI Recon، وروبوت صفحة التصيد الاحتيالي، وغيرها الكثير.
يحتوي المنشور المعلن عنه على لقطات شاشة لبوابة الإدارة تكشف عن معلومات تحديد الهوية الشخصية للأشخاص الذين سجلوا في حملات التطعيم ضد COVID-19.
نشاط وتصنيف الجهات الفاعلة في مجال التهديد
استنادًا إلى منشور على Instagram تم نشره في عام 2022، عرض حساب مرتبط على الأرجح بممثل التهديد العديد من البرامج النصية التي تستغل بوابات دفع UPI مثل SBI و PayTM و Google Pay وما إلى ذلك.
الشكل - يقوم ممثل التهديد بنشر البرامج النصية للبحث عن أنظمة UPI المختلفة العاملة في الهند
Threat Actor Profiling
Active since
2021
Reputation
Moderate with frequent posts to monetize from methods and data
Current Status
Active, popular
History
The actor has been sharing scripts, database, bot details, and deals in INR, indicating a non-Russian origin.
Rating
E4 (E: Unreliable, 4: Doubtfully True)
Impact & Mitigation
Impact
Mitigation
The exposed Personally Identifiable Information (PII) could enable threat actors to orchestrate social engineering schemes, phishing attacks, and even identity theft.
Include 2FA for Cowin portal.
Monitor cybercrime forums for the latest tactics employed by threat actors.
More information and context about Underground Chatter
On-Demand Research Services
Global Threat Intelligence Feed
Protect and proceed with Actionable Intelligence
The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.