Російські державні хакери використовують чати Signal для нових атак проти України: як це працює

Як працюють нові атаки APT28

Група APT28, яку пов’язують з російськими спецслужбами, почала використовувати месенджер Signal для поширення нових вірусів, спрямованих на державні об'єкти в Україні. Під час кібератак застосовуються два раніше не задокументовані типи шкідливого ПЗ – BeardShell та SlimAgent, повідомляє 24 Канал з посиланням на BleepingComputer.

Важливо зазначити, що сам Signal не став жертвою злому – він усе ще лишається захищеним і безпечним. У цих нових атаках він виступає лише як метод надсилання повідомлень. Популярність месенджера серед урядових структур зробила його привабливим інструментом для фішингових кампаній, тому хакери обрали його для доставки посилань і файлів. Лише там можна знайти певні організації та їхніх працівників або військових.

Фішинг – це один із видів інтернет-шахрайства, коли зловмисники намагаються обманом отримати вашу конфіденційну інформацію, таку як логіни, паролі чи дані банківських карток. Вони можуть надсилати електронні листи або повідомлення, що виглядають як офіційні (наприклад, від банку чи відомої компанії), з проханням надати особисті дані або перейти за посиланням на підроблений сайт. Сама суть фішингу – зловити користувача на гачок, прикинувшись кимось або чимось знайомим.

Перші інциденти були зафіксовані ще у березні 2024 року фахівцями CERT-UA, однак тоді було мало технічних деталей. Новий виток розслідування відбувся у травні 2025 року, коли компанія ESET повідомила CERT-UA про компрометацію урядової електронної скриньки у домені gov.ua.

Що робить вірус

Під час аналізу CERT-UA виявив, що через Signal надходили документи, що містили шкідливі макроси – зокрема файл під назвою "Акт.doc". Він запускав бекдор Covenant, який діє з пам'яті й виконує функції завантажувача. Цей бекдор активував процес завантаження динамічної бібліотеки PlaySndSrv.dll і WAV-файлу sample-03.wav з командним кодом, який зрештою запускав BeardShell – написаний мовою C++ вірус із функціями шпигунства.

BeardShell використовує техніку перехоплення портів у реєстрі Windows для закріплення в системі. Основна мета – запуск PowerShell-скриптів, які проходять розшифрування за допомогою алгоритму chacha20-poly1305. Дані передаються на C2-сервер через API сервісу Icedrive.

Ще один інструмент – SlimAgent – було виявлено під час атак у 2024 році. Він робить знімки екрану за допомогою функцій Windows API, шифрує зображення за допомогою AES і RSA, зберігає їх локально, ймовірно, для подальшого викрадення.

CERT-UA пов'язує цю кампанію з APT28, відомим також як UAC-0001, і радить звертати увагу на мережеву активність, пов’язану з доменами app.koofr.net та api.icedrive.net.

Важливим зауваженням є те, що хакери спілкуються зі своїми жертвами українською мовою.

Один з прикладів, коли хакери намагалися зламати свою жертву / Фото CERT-UA

Як Signal став інструментом російських операцій

Протягом 2025 року Signal неочікувано опинився в центрі кількох масштабних кібератак. Його використання хакерами не обмежувалося лише розсиланням заражених документів. Зловмисники застосовували також функції прив’язки акаунтів до пристроїв, аби викрадати облікові записи, а також поширювали через платформу вірус Dark Crystal RAT, орієнтований на стратегічні цілі в Україні.

Від представників української влади звучало розчарування через відсутність координації зі сторони Signal у протидії цим атакам. Деякі чиновники стверджували, що месенджер припинив співпрацю з Україною. У відповідь на це президентка Signal Мередіт Віттакер висловила здивування й підкреслила, що платформа ніколи не надавала доступу до комунікацій жодному уряду.

Група APT28, добре відома у сфері кібершпигунства, вже неодноразово атакувала українські, американські та європейські об'єкти. У листопаді 2024 року компанія Volexity виявила, що група використовує технологію "найближчого сусіда", яка дозволяє здійснювати зломи через локальні Wi-Fi-мережі.