"Безпечний" месенджер атакували хакери: як викрадають дані через Signal, — розслідування

Російські хакери намагаються обманними шляхами викрасти дані через месенджер Signal, відомий високим рівнем безпеки. Про це йдеться у звіті-розслідуванні менеджера з аналізу кібершпигунства в Google Cloud's Mandiant Дена Блека, опублікованому 20 лютого від імені Google Threat Intelligence Group (GTIG) — команди Google, яка займається аналізом загроз кібербезпеки.

Повідомляється, що атаки націлені на осіб, які "представляють інтерес для російських спецслужб". У GTIG очікують, що тактика й методі, які зараз використовують хакери проти Signal, в майбутньому стануть поширенішими, в тому числі поза межами "українського театру війни".

Signal — популярний серед військовослужбовців, політиків, журналістів, активістів та інших груп ризику, що робить програму вартісною ціллю для кіберзлочинців. Щоб заволодіти конфіденційною інформацією, вони вдаються до хитрощів.

Шкідливі QR-коди

Найновіша і найпоширеніша техніка — зловживання функцією "пов’язаних пристроїв", яка дозволяє використовувати месенджер, наприклад, з телефона і планшета одночасно. Щоб під’єднати додатковий пристрій, потрібно просканувати спеціальний QR-код.

Хакери створюють шкідливі QR-коди, просканувавши які, користувачі з’єднують свій обліковий запис з пристроєм зловмисника. В результаті йому в режимі реального часу приходять усі повідомлення, забезпечуючи постійний засіб прослуховування.

Часто шкідливі QR-коди маскували під справжні ресурси Signal, наприклад запрошення до груп, сповіщення системи безпеки або інструкції з підключення пристроїв. У більш спеціалізованих операціях хакери створювали фальшиві вебсторінки, які маскували під програми для військових, і туди вже вбудовували QR-коди.

Хакер APT44 (також відомий як Sandworm або Seashell Blizzard, його пов’язують з Головним центром спеціальних технологій ГРУ РФ) працював над тим, щоб використовувати викрадення даних захоплені у воїнів на фронті пристрої. Тобто умовно окупанти знаходять смартфон українського військового, Signal на ньому прив’язують до контрольованого сервера. Окрім того, що кіберзлочинець бачить чужі повідомлення, навіть якщо сам телефон буде у нього вже не на руках, він може видавати себе за власника.

Зазначається, що якщо вдається завдяки зв’язуванню пристроїв отримати доступ до даних, доступ може залишатись тривалий час. Це пояснюється відсутністю засобів захисту для відповідного моніторингу, тож "зайвий" пристрій може довго бути непоміченим.

Фальшиві запрошення у групи

Російська шпигунська група UNC5792 змінила сторінки "групових запрошень". Хакери використовували модифіковані "запрошення" в групи Signal, розроблені таким чином, щоб вони виглядали ідентично справжнім.

Однак у підроблених групових запрошеннях код JavaScript, який зазвичай скеровує користувача до групи, замінювали шкідливим блоком. Він містив уніфікований ідентифікатор ресурсу (URI), який використовується програмою для зв’язування з новим пристроєм. Тобто жертви таких атак думали, що поєднуються до груп у Signal, а насправді є надавали повний доступ до своїх акаунтів хакерам.

Імітація програми "Кропива"

Ще одна хакерська група, пов’язана з Росією — UNC4221. Її зусилля були зосереджені на українських військовослужбовцях. Хакери розробили фальшиву версію компонентів програми "Кропива", яку ЗСУ використовують для наведення артилерії. Мета — також викрадення даних з Signal. Окрім того, хакери намагалися замаскувати зв’язування пристроїв під запрошення до групи від довіреного контакту.

Були зафіксовані різні варіації таких фішингових атак:

• через фальшиві вебсайти, які виглядали як законні інструкції щодо зв’язування пристроїв;
• через шкідливі QR-коди, вбудовані безпосередньо в підроблену "Кропиву".

Кіберзлочинці використовували спеціальний код PINPOINT, який дозволяв збирати основну інформацію користувача й дані його геолокації за допомогою API GeoLocation.

Ширші спроби викрадення даних

Також хакери працювали над тим, щоб викрадати файли бази даних Signal. Атаки були націлені на пристрої Android і Windows.

APT44 працював з інструментом WAVESIGN, який регулярно надсилає запити у базу даних. Водночас за допомогою Rclone вивантажувались відповіді з найновішими повідомленнями у системі. Шкідливе ПЗ Infamous Chisel, також ймовірно створене Sandworm, шукало на Android-пристроях файли, пов’язані з Signal, для викрадення.

Хакер Turla, якого США і Велика Британія приписують Центру 16 ФСБ, використовував спеціальний скрипт PowerShell, щоб після зараження комп’ютера отримувати повідомлення з Signal Desktop. UNC1151, пов’язаний із Білоруссю, використовував утиліту Robocopy, щоб копіювати файли з Signal Desktop для подальшого викрадення.

Як себе убезпечити

У Google дали поради, як захистити свої особисті пристрої від можливих хакерських атак:

• увімкнути блокування екрана на всіх пристроях і обрати складний пароль (великі й малі букви, цифри й символи);
• якомога швидше оновлювати операційні системи й завжди використовувати останню версію Signal;
• переконатись, що ввімкнена функція Google Play Protect, яка перевіряє програми й пристрої на шкідливу поведінку;
• регулярно перевіряти зв’язані пристрої у налаштуваннях;
• обережно взаємодіяти з QR-кодами й вебресурсами, які виглядають як оновлення ПЗ, запрошення в групи або інші сповіщення, які спонукають до негайних дій;
• використовуйте за можливості двофакторну автентифікацію, зокрема через відбиток пальця, розпізнавання обличчя, ключ безпеки або одноразовий код.

Користувачам iPhone окремо порекомендували розглянути можливість увімкнути режим блокування.

"Ми вдячні команді Signal за тісну співпрацю в розслідуванні цієї діяльності. Останні версії Signal для Android та iOS містять посилені функції, призначені для захисту від подібних фішингових кампаній у майбутньому. Оновіть до останньої версії, щоб увімкнути ці функції", — зазначили в GTIG.

Нагадаємо, Apple представила iPhone 16e, оснащений чипом A18 і першим стільниковим модемом C1. Аналітики повідомили про результат таємної співпраці компанії зі SpaceX.

Нині телевізор можна замінити портативним проєктором, який підійде для кіно, ігор та роботи. Фокус зібрав п’ять недорогих моделей, які коштують на українському ринку від 4 500 гривень.