В современном мире безопасность цифровых коммуникаций является приоритетом для государственных структур, особенно для сотрудников национальной безопасности, которые используют специализированные приложения для обмена конфиденциальной информацией. Однако недавние события показали, что даже специализированные мессенджеры, созданные для государственных нужд, не застрахованы от уязвимостей и кибератак. В частности, агентство CISA (Cybersecurity and Infrastructure Security Agency) выпустило предупреждение об активной эксплуатации двух серьезных уязвимостей в популярном среди государственных служащих клоне Signal — приложении TeleMessage TM SGNL. Этому вопросу уделяется особое внимание, поскольку экспозиция подобных проблем ставит под угрозу целостность и конфиденциальность коммуникаций в ключевых федеральных учреждениях США. Фоном данной проблемы стал скандал, получивший известность как Signalgate.
В марте 2025 года тогдашний советник по национальной безопасности США Майк Уолтц случайно добавил журналиста в групповой чат мессенджера, где обсуждалась операция против повстанцев Хути в Йемене. Особенность ситуации заключалась в том, что в чате были активированы сообщения с функцией самоуничтожения, что вызвало волну критики со стороны регулирующих органов, поскольку появилось подозрение в нарушении правил хранения и ведения документации государственных сообщений. Расследования показали, что участники на самом деле использовали не классический Signal, а его клон — TeleMessage TM SGNL. Этот мессенджер разработан компанией TeleMessage и принадлежит организации Smarsh, специализирующейся на цифровом архивировании. Основная задача такого решения — обеспечить соответствие требованиям по хранению данных и контроль за коммуникациями.
Однако более глубокий технический аудит выявил серьезные недостатки в безопасности TM SGNL, включая отсутствие полноценного сквозного шифрования, что является ключевым элементом обеспечения конфиденциальности в оригинальном Signal. Эксперт по цифровой безопасности журналист Мика Ли проанализировал код приложения TeleMessage и обнаружил множество ошибок и уязвимостей. Эти пробелы в защите позволили злоумышленникам в короткие сроки проникнуть в систему и получить доступ к чатам и метаданным пользователей. Кульминацией стала крупная утечка в мае 2025 года, когда на платформе Distributed Denial of Secrets (DDOS) были опубликованы данные более 60 государственных сотрудников, в том числе представителей Секретной службы и высокопоставленного чиновника Белого дома. Эти цифровые документы включали историю сообщений и другую важную информацию, что стало серьезным ударом по репутации используемых государственных коммуникационных платформ.
В ответ на инцидент CISA официально включила две выявленные уязвимости, обозначенные как CVE-2025-48927 и CVE-2025-48928, в свой каталог известных эксплуатируемых угроз. Это означает, что федеральным агентствам предписано срочно применять исправления, предоставленные поставщиком программного обеспечения, либо прекратить использование приложения TeleMessage TM SGNL до 22 июля 2025 года. Такое требование направлено на сокращение рисков для критически важных систем и предотвращение дальнейших утечек и атак. Первая уязвимость, CVE-2025-48927, связана с неправильной настройкой компонента Spring Boot Actuator, который отвечает за мониторинг и управление сервером. Некорректная конфигурация в приложении TeleMessage позволяет злоумышленникам получить доступ к эндпоинту /heapdump, с помощью которого можно скачать дампы памяти сервера.
В этих дампах содержатся чувствительные данные, включая ключи аутентификации, пароли и другую критическую информацию, что существенно облегчает проведение последующих атак. Второе выявленное уязвимое место, CVE-2025-48928, позволяет злоумышленнику с локальным доступом к серверу TeleMessage извлечь файлы дампа памяти, где могут оказаться пароли, передававшиеся по небезопасному протоколу HTTP. Оценка серьезности этих уязвимостей в системе CVSS установлена на уровне 5.3 и 4.0 соответственно, что указывает на средний и умеренный риск, но при этом учитывая масштаб и важность пользователей — последствия могут быть крайне серьезными.
Интересно отметить, что CISA не зафиксировала использование этих уязвимостей для проведения ransomware-атак, однако возможность их эксплуатации для кражи данных и слежки создает значительную угрозу для национальной безопасности. Ситуация осложняется тем, что пока неясно, сколько государственных лиц продолжают использовать TeleMessage TM SGNL несмотря на предупреждения и риски. Это подчеркивает необходимость строгого контроля и актуализации используемого софта в федеральных ведомствах. Компания-владелец TeleMessage и Smarsh на момент публикации официальных комментариев по поводу этих инцидентов не предоставила, что вызывает дополнительные вопросы о прозрачности и подготовленности к управлению кризисами в сфере кибербезопасности. Данная ситуация стала своеобразным предупреждением для федеральных учреждений и частных компаний о том, насколько важно комплексно подходить к выбору коммуникационных решений, особенно когда речь идет о работе с чувствительной информацией.
Она также высветила проблему «догоняющей» кибербезопасности, когда новые угрозы и уязвимости выявляются уже после внедрения продукта в критические системы. Для предотвращения подобных инцидентов необходимо усилить меры контроля при закупках и внедрении программного обеспечения в государственных структурах. В частности, актуализация требований к ПО должна включать обязательный аудит кода, проверку на соответствие стандартам безопасности и своевременное применение обновлений. Кроме того, создание культуры кибербезопасности среди сотрудников также остается важным элементом защиты — люди должны понимать риски и соблюдать протоколы, чтобы минимизировать человеческий фактор как возможный источник угроз. Телемессенджеры, предназначенные для общения на высшем уровне власти, должны обеспечивать надежное шифрование и гарантировать аудитируемость всех сообщений без исключений.
Оригинальный Signal, широко признанный лучшим в данном сегменте, сохраняет лидерство именно благодаря открытости кода и постоянному совершенствованию протоколов безопасности. Клоны, позиционируемые как заменители Signal, должны соответствовать не менее высоким стандартам, чтобы не стать «дырами» в национальной безопасности. На фоне глобального роста числа кибератак и усложнения методов взлома государства по всему миру все больше внимания уделяют защите государственных коммуникаций и инфраструктуры. Нарушения конфиденциальности и утечки данных не только ставят под риск отдельные операции и проекты, но и подрывают доверие к государственным институтам в целом. В итоге история с уязвимостями TeleMessage TM SGNL служит важным уроком для всех заинтересованных сторон.
Она демонстрирует, что даже наиболее продвинутые и внешне надежные решения могут иметь скрытые проблемы, способные привести к серьезным последствиям. Успех цифровой безопасности зависит от комплексного подхода, включающего технологические меры, грамотные кадровые решения и прозрачное взаимодействие между разработчиками, пользователями и регуляторами. Пока правительственные агентства выполняют указания CISA и внедряют необходимые обновления или переходят на альтернативные платформы, всем организациям рекомендовано следить за жизненным циклом используемого ПО и быть готовыми оперативно реагировать на новые угрозы. Понимание и применение лучших практик в области кибербезопасности сегодня — залог защиты завтра.
