/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2Fc2c8edcda1df4b75fb0b68440c8e8e35.jpg)
Слідчий зі шпигунських програм викрив спроби російських урядових хакерів викрасти облікові записи Signal
Доннча О'Сірбхайл, дослідник безпеки, який розслідує атаки шпигунського програмного забезпечення, опинився в незвичайному становищі. Цього разу він став мішенню хакерів.
«Шановний користувачу, це чат-бот служби підтримки безпеки Signal. Ми помітили підозрілу активність на вашому пристрої, яка могла призвести до витоку даних», – йдеться у повідомленні, яке він отримав у своєму обліковому записі Signal.
«Ми також виявили спроби отримати доступ до ваших особистих даних у Signal», – йдеться у повідомленні.
«Щоб запобігти цьому, вам потрібно пройти процедуру верифікації, ввівши код верифікації в чат-бот служби підтримки Signal Security. НЕ КАЖІТЬ КОД НІКОМУ, НАВІТЬ СПІВРОБІТНИКАМ SIGNAL».
Очевидно, О'Кербхайл, який очолює Лабораторію безпеки Amnesty International, одразу зрозумів, що це була «нерозумна» спроба злому його облікового запису Signal. Натомість він подумав, що це буде гарна нагода втрутитися в неочікуване розслідування.
Дослідник розповів TechCrunch, що до того часу він «ніколи свідомо» не ставав мішенню кібератаки одним клацанням миші чи подібної спроби фішингу.
«Отримання цієї атаки у моїй поштовій скриньці та можливість перевернути атаки з боку нападників і дізнатися більше про кампанію були надто гарними, щоб їх втратити», – сказав він.
Як виявилося, спроба атаки на Ó Cearbhaill, ймовірно, була частиною ширшої хакерської кампанії, спрямованої на велику групу користувачів Signal. Стратегії хакерів полягали в тому, щоб видавати себе за Signal, попереджати про фальшиві загрози безпеці та намагатися обманом змусити ціль надати хакерам доступ до свого облікового запису, пов'язавши його з пристроєм, яким керували хакери.
Ці методи були точно такими ж, як і ті, що спостерігалися в ширшій кампанії, про яку попереджали агентство кібербезпеки США CISA , агентство кібербезпеки Великої Британії та голландська розвідка , звинувачуючи в ній російських урядових шпигунів. Signal також попереджав про фішингові атаки, спрямовані на його користувачів. Німецький новинний журнал Der Spiegel виявив , що російським хакерам вдалося скомпрометувати кількох людей у країні, включаючи відомих політиків.
О'Кербхайлл у серії онлайн-дописів заявив , що йому вдалося з'ясувати, що він був однією з понад 13 500 цілей. Він відмовився розкрити, як саме він розслідував спробу злому та кампанію, щоб не розкрити свою причетність хакерам, але поділився кількома деталями про те, що він дізнався.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F380927e1cc7504b2eea1e68711b6ee0f.jpg)
Спочатку О'Кербхайл зрозумів, що серед інших цілей були журналісти, з якими він працював, а також його колега. На той момент, за його словами, він уже підозрював, що це була опортуністична атака, під час якої хакери скомпрометували цілі та виявили нових потенційних жертв завдяки цим успішним атакам.
О'Кербхайл назвав це «гіпотезою снігової кулі» та сказав, що переконаний, що став мішенню, оскільки, ймовірно, перебував у груповому чаті з кимось, кого зламали, що дало хакерам шанс знайти контактну інформацію нових цілей.
Дослідник сказав, що йому вдалося ідентифікувати систему, яку використовували хакери, під назвою «ApocalypseZ». Вона автоматизує атаку, дозволяючи хакерам атакувати багатьох людей одночасно масово з обмеженим людським наглядом.
Він також виявив, що кодова база та інтерфейс оператора написані російською мовою, а хакери перекладали чати жертв російською мовою, що узгоджується з гіпотезою про те, що це була та сама російська урядова хакерська група, яка стояла за аналогічними кампаніями.
О'Кербхайл сказав, що він все ще стежить за кампанією та бачив, як атаки тривають, а це означає, що загальна кількість цілей, безумовно, набагато більша, ніж та, яку він бачив на початку цього року.
Він сказав, що сумнівається, що хакери знову переслідуватимуть його, і, ймовірно, пошкодує, що взагалі на нього напали. Він сказав: «Я вітаю майбутні повідомлення, особливо якщо в них є повідомлення нульового дня, якими вони хотіли б поділитися», маючи на увазі недоліки безпеки , які ще не відомі постачальнику, і які часто використовуються в атаках, що він розслідує.
О'Кербхайл сказав, що якщо користувачі Signal хвилюються, що стануть ціллю такого типу атаки, їм слід увімкнути «Блокування реєстрації» – функцію, яка дозволяє користувачам встановлювати PIN-код для свого облікового запису, що запобігає реєстрації номера телефону іншими особами на іншому пристрої.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2F09f7e937-ebb5-4267-be2e-b3bf04365b41.jpeg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F389fb22b8fdab26c628fddfdea1d777f.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F46%2F4bd7d0adf716bbd9b1d1d662fc5c4cbd.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F33%2Fca610be3fe061cd104f69557482f5785.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F46%2F4d9151c841ca929be994b0b78d3ee9bc.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F46%2F71fe9b71ef4c8c90b5ded9cd8937b3be.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F30%2F0deb2d53f77e046cf03e6195984a1a83)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F1%2F23133d79f8ade0c9acb0d109f337f176.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F10%2F097a34a05efe48623578595361f3e425)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F209%2F6bbb47ffe8394df9e82c3ca81a96d12f.jpg)