Російські хакери дедалі частіше атакують акаунти в месенджері Signal, зокрема ті, що належать українським військовослужбовцям та державним посадовцям. Метою таких атак є отримання чутливої інформації, яка може допомогти Москві у веденні війни, попереджають дослідники.
У своєму звіті, опублікованому в середу, команда з кібербезпеки Google заявила, що популярність Signal серед військових, політиків, журналістів та активістів зробила його основною ціллю для шпигунських операцій.
Однак інші месенджери, такі як WhatsApp і Telegram, також піддаються атакам проросійських хакерів із подібною метою.
Українські державні служби з кібербезпеки вже застерігали, що російські хакерські групи активно використовують Signal для атак на урядових та оборонних посадовців. Як правило, такі атаки передбачають розсилку фішингових повідомлень, які заражають пристрої жертв шпигунським ПЗ.
За спостереженнями Google, найновіша і найпоширеніша техніка зламів пов'язана зі зловживанням функцією "пов'язані пристрої" у Signal. Ця функція дозволяє використовувати один акаунт на кількох пристроях одночасно.
У таких атаках зловмисники створюють шкідливі QR-коди, необхідні для прив’язки нового пристрою. Якщо жертва відсканує такий код, її акаунт Signal зв’язується із пристроєм, контрольованим хакерами. Це дає можливість перехоплювати повідомлення в реальному часі.
Російські хакери поширюють ці шкідливі QR-коди дистанційно, видаючи їх за:
- Запрошення в групи Signal
- Офіційні повідомлення про безпеку
- Фальшиві сторінки, що імітують сайти українських військових
- Хакерські атаки на полі бою
Google також виявила кампанію, в якій відома російська група Sandworm допомагала російським військовим прив'язати акаунти Signal із захоплених пристроїв до власної системи для подальшого використання.
Інше хакерське угруповання, відоме як UNC4221, створило фішинговий комплект для атаки на користувачів Signal, що імітує українську артилерійську програму "Кропива". У цих атаках UNC4221 також використовувала JavaScript-код "Pinpoint" для збору інформації про користувача та його геолокаційних даних.
"Ми очікуємо, що безпечні повідомлення та дані про місцеперебування стануть одними з головних цілей подібних операцій у майбутньому, особливо в контексті військових і розвідувальних операцій", – йдеться у звіті Google.
Окрім віддаленого зламу акаунтів, російські хакери також викрадають бази даних Signal із пристроїв на Android та Windows.
Sandworm застосувала шкідливе ПЗ Wavesign, щоб викрасти повідомлення із бази даних Signal.
Інше хакерське угруповання Turla використало PowerShell-скрипт для копіювання повідомлень із Signal Desktop.
За словами дослідників, ці атаки здебільшого зумовлені потребами війни, зокрема отриманням доступу до урядових і військових комунікацій України. Проте в Google вважають, що атаки на Signal будуть лише зростати і поширюватися на інші країни.
"Попит на кіберзброю для перехоплення захищених повідомлень лише зростає. Все більше урядів та хакерських угруповань намагаються шпигувати за тими, хто використовує безпечні месенджери для захисту своїх даних", – заявили в Google.
Google також зазначила, що Signal допомагає у розслідуванні атак та посилює захист своїх користувачів. В останніх версіях Signal для Android та iOS вже додані покращені засоби безпеки для боротьби з подібними фішинговими кампаніями.
