Російські хакери отримали доступ до акаунтів та повідомлень українських військових у Signal

Як їм це вдалося

Дослідники безпеки Google опублікували великий матеріал, у якому детально розкрили вкрай простий метод, за допомогою якого Росія проникає в облікові записи, отримуючи таким чином доступ не лише до конфіденційних особистих повідомлень, а й до групових чатів військових. Хакери змогли прив'язати акаунти своїх жертв до себе, зловживаючи функцією "пов'язаних пристроїв" у месенджері, яка дозволяє користувачеві одночасно входити в систему на декількох пристроях, повідомляє 24 Канал з посиланням на Politico.

Google пише, що цей метод є "найновішим і широко використовуваним". Оскільки прив'язка додаткового пристрою зазвичай вимагає сканування QR-коду, зловмисники вдаються до створення фальшивих QR-кодів, які при скануванні зв'язують акаунт жертви з додатком Signal, що знаходиться під контролем зловмисників. У разі успіху, майбутні повідомлення будуть синхронно доставлятися як жертві, так і зловмиснику в режимі реального часу, забезпечуючи постійний засіб для підслуховування захищених розмов без необхідності зламу самого пристрою.

Такі QR-коди розсилаються військовим різними способами, в тому числі з інших захоплених акаунтів, яким жертва довіряє.

В операціях російських хакерів, які відслідкували в Google, шкідливі QR-коди часто маскувалися під легітимні ресурси Signal, такі як запрошення до груп, сповіщення про безпеку або легітимні інструкції щодо сполучення пристроїв з сайту Signal.
У більш спеціалізованих операціях віддаленого фішингу шкідливі QR-коди з прив'язкою до пристроїв вбудовуються у фішингові сторінки, створені під виглядом спеціалізованих додатків, що використовуються українськими військовими.

Ця фальшива сторінка Signal маскується під справжнє запрошення в груповий чат / Фото Google

Що таке фішинг

Це метод хакерської атаки, який полягає в тому, щоб втертися в довіру до жертви, видаючи себе за знайому особу, довірену компанію, сервісне повідомлення тощо. Як правило, в такому випадку використовують захоплені облікові записи, фальшиві копії сторінок у соцмережах, схожі адреси електронної пошти, де адреса відрізняється на один схожий символ, та інше. Видаючи себе за легітимного співрозмовника, хакери надсилають шкідливі посилання з вірусом чи змушують встановити шкідливе програмне забезпечення.

Окрім віддаленого фішингу, під час якого військових змушують сканувати фальшиві QR-коди, Росія також користується пристроями українських військових, знайденими на полі бою, зокрема відібраними у полонених чи померлих. Якщо смартфон вдається розблокувати, він також прив'язується до російських пристроїв для подальшого відслідковування повідомлень.

Дослідники змогли ідентифікувати деяких учасників цієї кампанії. Наприклад, згадується хакерська група APT44, також відома як Sandworm і Seashell Blizzard. Її пов'язують з Головним центром спеціальних технологій (ГЦСТ) Головного управління Генерального штабу Збройних сил Російської Федерації (ГШ ЗС РФ), відомого як ГРУ.

У той час, як основний протокол шифрування застосунка все ще є безпечним, функція "пов'язаних пристроїв" є, ймовірно, єдиним способом, яким хакери можуть користуватися, щоб проникнути в чати українських військових.

Що кажуть у Signal

Старший технолог Signal Джош Лунд заявив, що додаток "вніс кілька змін, щоб допомогти підвищити обізнаність і захистити користувачів від типів атак соціальної інженерії, описаних у звіті". Компанія переробила користувацький інтерфейс, ввела додаткові етапи аутентифікації та впровадила сповіщення для нових прив'язаних пристроїв.

Однак цих заходів може бути недостатньо. Не всі володіють достатніми навичками розпізнавання фішингу та уважністю.

Що робити

Інші додатки для обміну повідомленнями, включаючи WhatsApp і Telegram, мають схожі функції для зв'язку між пристроями і можуть бути або стати мішенню для подібних приманок. Тому протидія хакерським спробам для кожного випадку буде однаковою: