Российские хакеры получили доступ к аккаунтам и сообщениям украинских военных в Signal

Александр Гайдамашко

Хакеры из России могут взломать ваш Signal с помощью этой функции и фишинга

Signal / 24 Канал

Больше интересных аудионовинок

Слушать

Слушать эту новость

00:00

01:09

Слушать эту новость

00:00

01:09

Хакеры, которых финансирует российское правительство, имеют доступ к учетным записям некоторых украинских военных в Signal. Новый отчет описывает способ, который базируется на одной из функций мессенджера. Объясняем, как это работает, и как избежать угрозы.

Как им это удалось

Исследователи безопасности Google опубликовали большой материал, в котором подробно раскрыли крайне простой метод, с помощью которого Россия проникает в учетные записи, получая таким образом доступ не только к конфиденциальным личным сообщениям, но и к групповым чатам военных. Хакеры смогли привязать аккаунты своих жертв к себе, злоупотребляя функцией "связанных устройств" в мессенджере, которая позволяет пользователю одновременно входить в систему на нескольких устройствах, сообщает 24 Канал со ссылкой на Politico.

Google пишет, что этот метод является "самым новым и широко используемым". Поскольку привязка дополнительного устройства обычно требует сканирования QR-кода, злоумышленники прибегают к созданию фальшивых QR-кодов, которые при сканировании связывают аккаунт жертвы с приложением Signal, находящимся под контролем злоумышленников. В случае успеха, будущие сообщения будут синхронно доставляться как жертве, так и злоумышленнику в режиме реального времени, обеспечивая постоянное средство для подслушивания защищенных разговоров без необходимости взлома самого устройства.

Такие QR-коды рассылаются военным различными способами, в том числе с других захваченных аккаунтов, которым жертва доверяет.

В операциях российских хакеров, которые отследили в Google, вредоносные QR-коды часто маскировались под легитимные ресурсы Signal, такие как приглашение в группы, оповещения о безопасности или легитимные инструкции по сопряжению устройств с сайта Signal.
В более специализированных операциях удаленного фишинга вредоносные QR-коды с привязкой к устройствам встраиваются в фишинговые страницы, созданные под видом специализированных приложений, используемых украинскими военными.

Это фальшивая страница Signal
Эта фальшивая страница Signal маскируется под настоящее приглашение в групповой чат / Фото Google

Что такое фишинг

Это метод хакерской атаки, который заключается в том, чтобы втереться в доверие к жертве, выдавая себя за знакомое лицо, доверенную компанию, сервисное сообщение и тому подобное. Как правило, в таком случае используют захваченные учетные записи, фальшивые копии страниц в соцсетях, похожие адреса электронной почты, где адрес отличается на один похожий символ, и прочее. Выдавая себя за легитимного собеседника, хакеры присылают вредоносные ссылки с вирусом или заставляют установить вредоносное программное обеспечение.

Кроме удаленного фишинга, во время которого военных заставляют сканировать фальшивые QR-коды, Россия также пользуется устройствами украинских военных, найденными на поле боя, в частности отобранными у пленных или умерших. Если смартфон удается разблокировать, он также привязывается к российским устройствам для дальнейшего отслеживания сообщений.

Исследователи смогли идентифицировать некоторых участников этой кампании. Например, упоминается хакерская группа APT44, также известная как Sandworm и Seashell Blizzard. Ее связывают с Главным центром специальных технологий (ГЦСТ) Главного управления Генерального штаба Вооруженных сил Российской Федерации (ГШ ВС РФ), известного как ГРУ.

В то время как основной протокол шифрования приложения все еще является безопасным, функция "связанных устройств" является, вероятно, единственным способом, которым хакеры могут пользоваться, чтобы проникнуть в чаты украинских военных.

Что говорят в Signal

Старший технолог Signal Джош Лунд заявил, что приложение "внесло несколько изменений, чтобы помочь повысить осведомленность и защитить пользователей от типов атак социальной инженерии, описанных в отчете". Компания переработала пользовательский интерфейс, ввела дополнительные этапы аутентификации и внедрила оповещения для новых привязанных устройств.

Однако этих мер может быть недостаточно. Не все обладают достаточными навыками распознавания фишинга и внимательностью.

Что делать

Другие приложения для обмена сообщениями, включая WhatsApp и Telegram, имеют схожие функции для связи между устройствами и могут быть или стать мишенью для подобных приманок. Поэтому противодействие хакерским попыткам для каждого случая будет одинаковым:

Не стоит переходить по подозрительным ссылкам или сканировать QR-коды, особенно на сторонних ресурсах. По возможности, проверьте с кем сейчас разговариваете (и кто прислал вам ссылку или код) в другом мессенджере.
Будьте осторожны при взаимодействии с групповыми приглашениями или другими уведомлениями, которые кажутся законными и призывают к немедленным действиям.
Используйте двухфакторную аутентификацию для входа в аккаунт, такую как одноразовый код из приложения кодов или код на электронную почту.
Включите блокировку экрана на всех мобильных устройствах с помощью длинного сложного пароля, состоящего из больших и малых букв, цифр и символов. Лучше избегать распознавания лица или сканирования отпечатка, которые можно провести без вашего согласия.
Устанавливайте последние версии операционной системы и самих приложений, ведь они постоянно закрывают известные уязвимости.
Регулярно проверяйте связанные устройства на наличие неавторизованных устройств, перейдя в раздел "Связанные устройства" в настройках программы.