Укр Рус
Техно Интернет Российские государственные хакеры используют Signal для атак против Украины: как это работает
25 июня, 18:31
4

Российские государственные хакеры используют Signal для атак против Украины: как это работает

Александр Гайдамашко
Основні тези
  • Российская хакерская группа APT28 начала использовать мессенджер Signal для доставки вредоносного ПО, ориентированного на государственные цели в Украине.
  • Во время атак происходит распространение зараженных документов.
  • Вирусы, которые распространяются через Signal, включают бэкдор Covenant и Dark Crystal RAT, ориентированные на стратегические цели в Украине.

Российская хакерская группировка APT28 начала использовать мессенджер Signal как канал доставки вредоносного ПО, ориентированного на государственные цели в Украине. Во время атак применяются новые инструменты шпионажа и заражения.

Как работают новые атаки APT28

Группа APT28, которую связывают с российскими спецслужбами, начала использовать мессенджер Signal для распространения новых вирусов, направленных на государственные объекты в Украине. Во время кибератак применяются два ранее не задокументированных типа вредоносного ПО – BeardShell и SlimAgent, сообщает 24 Канал со ссылкой на BleepingComputer.

Смотрите также Microsoft разоблачила деятельность нового вируса, заразившего ПК по всему миру, включая Украину

Важно отметить, что сам Signal не стал жертвой взлома – он все еще остается защищенным и безопасным. В этих новых атаках он выступает лишь как метод отправки сообщений. Популярность мессенджера среди правительственных структур сделала его привлекательным инструментом для фишинговых кампаний, поэтому хакеры выбрали его для доставки ссылок и файлов. Только там можно найти определенные организации и их работников или военных.

Фишинг – это один из видов интернет-мошенничества, когда злоумышленники пытаются обманом получить вашу конфиденциальную информацию, такую как логины, пароли или данные банковских карт. Они могут присылать электронные письма или сообщения, выглядящие как официальные (например, от банка или известной компании), с просьбой предоставить личные данные или перейти по ссылке на поддельный сайт. Сама суть фишинга – поймать пользователя на крючок, притворившись кем-то или чем-то знакомым.

Первые инциденты были зафиксированы еще в марте 2024 года специалистами CERT-UA, однако тогда было мало технических деталей. Новый виток расследования состоялся в мае 2025 года, когда компания ESET сообщила CERT-UA о компрометации правительственного электронного ящика в домене gov.ua.

Что делает вирус

Во время анализа CERT-UA обнаружил, что через Signal поступали документы, содержащие вредоносные макросы – в частности файл под названием "Акт.doc". Он запускал бэкдор Covenant, который действует из памяти и выполняет функции загрузчика. Этот бэкдор активировал процесс загрузки динамической библиотеки PlaySndSrv.dll и WAV-файла sample-03.wav с командным кодом, который в конечном итоге запускал BeardShell – написанный на языке C++ вирус с функциями шпионажа.

BeardShell использует технику перехвата портов в реестре Windows для закрепления в системе. Основная цель – запуск PowerShell-скриптов, которые проходят расшифровку с помощью алгоритма chacha20-poly1305. Данные передаются на C2-сервер через API сервиса Icedrive.

Еще один инструмент – SlimAgent – был обнаружен во время атак в 2024 году. Он делает снимки экрана с помощью функций Windows API, шифрует изображения с помощью AES и RSA, сохраняет их локально, вероятно, для дальнейшего похищения.

CERT-UA связывает эту кампанию с APT28, известным также как UAC-0001, и советует обращать внимание на сетевую активность, связанную с доменами app.koofr.net и api.icedrive.net.

Важным замечанием является то, что хакеры общаются со своими жертвами на украинском языке.


Один из примеров, когда хакеры пытались взломать свою жертву / Фото CERT-UA

Как Signal стал инструментом российских операций

В течение 2025 года Signal неожиданно оказался в центре нескольких масштабных кибератак. Его использование хакерами не ограничивалось только рассылкой зараженных документов. Злоумышленники применяли также функции привязки аккаунтов к устройствам, чтобы похищать учетные записи, а также распространяли через платформу вирус Dark Crystal RAT, ориентированный на стратегические цели в Украине.

От представителей украинской власти звучало разочарование из-за отсутствия координации со стороны Signal в противодействии этим атакам. Некоторые чиновники утверждали, что мессенджер прекратил сотрудничество с Украиной. В ответ на это президент Signal Мередит Виттакер выразила удивление и подчеркнула, что платформа никогда не предоставляла доступа к коммуникациям ни одному правительству.

Группа APT28, хорошо известна в сфере кибершпионажа, уже неоднократно атаковала украинские, американские и европейские объекты. В ноябре 2024 года компания Volexity обнаружила, что группа использует технологию "ближайшего соседа", которая позволяет осуществлять взломы через локальные Wi-Fi-сети.