Хакеры из РФ придумали способ читать секретные переписки ВСУ в Signal

Хакеры из РФ придумали способ читать секретные переписки ВСУ в Signal

Связанные с Россией хакеры придумали уловку для получения доступа к аккаунтам в Signal

Группа Google по анализу угроз (GTIG) раскрыла фишинговую технику, которую использовали связанные с Россией хакерские группы для получения доступа к зашифрованным перепискам в мессенджере Signal. Основной целью хакеров стали военные ВСУ, использующие мессенджер, в том числе на фронте, однако в зоне риска находятся и другие группы, в том числе политики, политические активисты и журналисты, следует из опубликованного в среду отчета GTIG.

Новая техника связанных с Россией хакеров основана на злоупотреблении функцией привязки дополнительных устройств, говорится в отчете. Хакеры создают вредоносные QR-коды, которые при сканировании привязывают учетную запись пользователя к приложению Signal на устройстве, которое контролируют злоумышленники. В случае успешной атаки будущие сообщения будут синхронно доставляться как жертве, так и злоумышленнику в режиме реального времени, создавая устойчивый канал для перехвата зашифрованных сообщений, говорится в отчете.

Появление новой фишинговой методики обусловлено интересом российских военных в получении доступа к конфиденциальным каналам коммуникации украинских чиновников и военных, сообщила GTIG.

Методику использовали несколько групп российских хакеров, следует из отчета. Группа с условным названием UNC5792 для получения доступа к аккаунтам пользователей рассылала приглашения присоединиться в группе в Signal. В случае его активации устройство перенаправлялось на вредоносный URL-адрес, созданный для привязки контролируемого злоумышленником оборудования к учетной записи Signal жертвы.

Другая группа (GTIG называет ее UNC4221) для атак на учетные записи украинских военных имитировала компоненты приложения Kropyva, которое ВСУ используют для управления артиллерией. Жертвы также получали приглашение в группу от доверенного контакта. В более ранних операциях 2022 года UNC4221 маскировала вредоносные ссылки под предупреждения безопасности от Signal.

Связанные с Россией хакеры использовали вредоносные QR-коды не только для фишинга, но и в других операциях, говорится в отчете. Предположительно связанная с ГРУ группа APT44 (также известная как Sandworm или Seashell Blizzard) использовала функцию связывания дополнительных устройств для выгрузки сообщений из аккаунтов Signal на телефонах украинских военных, захваченных на поле боя. А группа Turla, которую США и Великобритания связывают с ФСБ, пыталась получить доступ к Desktop-версии Signal на взломанных компьютерах.

GTIG ожидает распространения тактики и методов атак на Signal и за пределами зоны боевых действий в Украине.

Популярность Signal среди <...> военнослужащих, политиков, журналистов, активистов и других уязвимых групп делает это приложение для защищенной коммуникации приоритетной целью для тех, кто стремится перехватить конфиденциальные данные в интересах разведывательных служб, — говорится в отчете.

Отчет GTIG вышел после того, как Signal выпустил обновление с усиленной защитой от описанной методики фишинга.