Группа Google по анализу угроз (GTIG) раскрыла фишинговую технику, которую использовали связанные с Россией хакерские группы для получения доступа к зашифрованным перепискам в мессенджере Signal. Основной целью хакеров стали военные ВСУ, использующие мессенджер, в том числе на фронте, однако в зоне риска находятся и другие группы, в том числе политики, политические активисты и журналисты, следует из опубликованного в среду отчета GTIG.
Детали. Новая техника связанных с Россией хакеров основана на злоупотреблении функцией привязки дополнительных устройств, говорится в отчете. Хакеры создают вредоносные QR-коды, которые при сканировании привязывают учетную запись пользователя к приложению Signal на устройстве, которое контролируют злоумышленники. В случае успешной атаки будущие сообщения будут синхронно доставляться как жертве, так и злоумышленнику в режиме реального времени, создавая устойчивый канал для перехвата зашифрованных сообщений, говорится в отчете.
- Появление новой фишинговой методики обусловлено интересом российских военных в получении доступа к конфиденциальным каналам коммуникации украинских чиновников и военных, сообщила GTIG.
- Методику использовали несколько групп российских хакеров, следует из отчета. Группа с условным названием UNC5792 для получения доступа к аккаунтам пользователей рассылала приглашения присоединиться в группе в Signal. В случае его активации устройство перенаправлялось на вредоносный URL-адрес, созданный для привязки контролируемого злоумышленником оборудования к учетной записи Signal жертвы.
- Другая группа (GTIG называет ее UNC4221) для атак на учетные записи украинских военных имитировала компоненты приложения Kropyva, которое ВСУ используют для управления артиллерией. Жертвы также получали приглашение в группу от доверенного контакта. В более ранних операциях 2022 года UNC4221 маскировала вредоносные ссылки под предупреждения безопасности от Signal.
- Связанные с Россией хакеры использовали вредоносные QR-коды не только для фишинга, но и в других операциях, говорится в отчете. Предположительно связанная с ГРУ группа APT44 (также известная как Sandworm или Seashell Blizzard) использовала функцию связывания дополнительных устройств для выгрузки сообщений из аккаунтов Signal на телефонах украинских военных, захваченных на поле боя. А группа Turla, которую США и Великобритания связывают с ФСБ, пыталась получить доступ к Desktop-версии Signal на взломанных компьютерах.
- GTIG ожидает распространения тактики и методов атак на Signal и за пределами зоны боевых действий в Украине. «Популярность Signal среди <…> военнослужащих, политиков, журналистов, активистов и других уязвимых групп делает это приложение для защищенной коммуникации приоритетной целью для тех, кто стремится перехватить конфиденциальные данные в интересах разведывательных служб», — говорится в отчете.
- Отчет GTIG вышел после того, как Signal выпустил обновление с усиленной защитой от описанной методики фишинга.
Контекст. В июле 2023 года The New York Times сообщала о том, что ФСБ научилась отслеживать переписку пользователей Telegram, Signal и WhatsApp. Однако инструменты спецслужбы позволяли лишь выяснять, кто с кем, где и когда общается, но не читать сами сообщения. Также ФСБ смогла отслеживать, кому звонят пользователи Telegram, Signal и WhatsApp, но только в том случае, если они находятся в России и не пользуются VPN.
Больше новостей, о которых боятся писать в России, — в наших аккаунтах в Telegram, Twitter, Facebook