Російські хакери отримали доступ до акаунтів та повідомлень українських військових у Signal

Як їм це вдалося

Дослідники безпеки Google опублікували великий матеріал, у якому детально розкрили вкрай простий метод, за допомогою якого Росія проникає в облікові записи, отримуючи таким чином доступ не лише до конфіденційних особистих повідомлень, а й до групових чатів військових. Хакери змогли прив'язати акаунти своїх жертв до себе, зловживаючи функцією "пов'язаних пристроїв" у месенджері, яка дозволяє користувачеві одночасно входити в систему на декількох пристроях, повідомляє 24 Канал з посиланням на Politico.

Google пише, що цей метод є "найновішим і широко використовуваним". Оскільки прив'язка додаткового пристрою зазвичай вимагає сканування QR-коду, зловмисники вдаються до створення фальшивих QR-кодів, які при скануванні зв'язують акаунт жертви з додатком Signal, що знаходиться під контролем зловмисників. У разі успіху, майбутні повідомлення будуть синхронно доставлятися як жертві, так і зловмиснику в режимі реального часу, забезпечуючи постійний засіб для підслуховування захищених розмов без необхідності зламу самого пристрою.

Такі QR-коди розсилаються військовим різними способами, в тому числі з інших захоплених акаунтів, яким жертва довіряє.

• В операціях російських хакерів, які відслідкували в Google, шкідливі QR-коди часто маскувалися під легітимні ресурси Signal, такі як запрошення до груп, сповіщення про безпеку або легітимні інструкції щодо сполучення пристроїв з сайту Signal.
• У більш спеціалізованих операціях віддаленого фішингу шкідливі QR-коди з прив'язкою до пристроїв вбудовуються у фішингові сторінки, створені під виглядом спеціалізованих додатків, що використовуються українськими військовими.

Ця фальшива сторінка Signal маскується під справжнє запрошення в груповий чат / Фото Google

Окрім віддаленого фішингу, під час якого військових змушують сканувати фальшиві QR-коди, Росія також користується пристроями українських військових, знайденими на полі бою, зокрема відібраними у полонених чи померлих. Якщо смартфон вдається розблокувати, він також прив'язується до російських пристроїв для подальшого відслідковування повідомлень.

Дослідники змогли ідентифікувати деяких учасників цієї кампанії. Наприклад, згадується хакерська група APT44, також відома як Sandworm і Seashell Blizzard. Її пов'язують з Головним центром спеціальних технологій (ГЦСТ) Головного управління Генерального штабу Збройних сил Російської Федерації (ГШ ЗС РФ), відомого як ГРУ.

У той час, як основний протокол шифрування застосунка все ще є безпечним, функція "пов'язаних пристроїв" є, ймовірно, єдиним способом, яким хакери можуть користуватися, щоб проникнути в чати українських військових.

Що кажуть у Signal

Старший технолог Signal Джош Лунд заявив, що додаток "вніс кілька змін, щоб допомогти підвищити обізнаність і захистити користувачів від типів атак соціальної інженерії, описаних у звіті". Компанія переробила користувацький інтерфейс, ввела додаткові етапи аутентифікації та впровадила сповіщення для нових прив'язаних пристроїв.

Однак цих заходів може бути недостатньо. Не всі володіють достатніми навичками розпізнавання фішингу та уважністю.

Що робити

Інші додатки для обміну повідомленнями, включаючи WhatsApp і Telegram, мають схожі функції для зв'язку між пристроями і можуть бути або стати мішенню для подібних приманок. Тому протидія хакерським спробам для кожного випадку буде однаковою:

• Не варто переходити за підозрілими посиланнями чи сканувати QR-коди, особливо на сторонніх ресурсах. За можливості, перевірте з ким зараз розмовляєте (і хто надіслав вам посилання чи код) в іншому месенджері.
• Будьте обережні під час взаємодії з груповими запрошеннями чи іншими сповіщеннями, які здаються законними та закликають до негайних дій.
• Використовуйте двофакторну автентифікацію для входу в акаунт, таку як одноразовий код із застосунка кодів чи код на електронну пошту.
• Увімкніть блокування екрана на всіх мобільних пристроях за допомогою довгого складного пароля, що складається з великих і малих літер, цифр і символів. Краще уникати розпізнавання обличчя чи сканування відбитка, які можна провести без вашої згоди.
• Встановлюйте останні версії операційної системи та самих додатків, адже вони повсякчас закривають відомі вразливості.
• Регулярно перевіряйте зв’язані пристрої на наявність неавторизованих пристроїв, перейшовши до розділу "Пов’язані пристрої" в налаштуваннях програми.