Новости
Фото: Unsplash.com
Группа анализа угроз Google раскрыла новые фишинговые методы, используемые российскими хакерскими группами для взлома аккаунтов пользователей Signal. Основной целью атак стали украинские военные, использующие Signal для переписки. Среди групп, которые Google связал с фишинговыми атаками через приложение Signal, — APT44, или Sandworm, которая связана с ГРУ. Signal уже выпустил обновление для защиты от подобных атак для устройств на Android и iOS.
Хакеры используют функцию привязки дополнительных устройств в Signal. Чтобы использовать свой аккаунт в Signal на разных устройствах, необходимо отсканировать с помощью одного устройства QR-код, который отображается на другом устройстве. Хакеры отправляют целям ложные QR-коды, которые при сканировании привязывают аккаунт жертвы к чужим устройствам. Таким образом злоумышленники в случае успешной атаки перехватывают переписку жертвы.
Ложные QR-коды, по сообщению Google, были замечены в похожих на настоящие приглашениях присоединиться к чатам, фальшивых пуш-уведомлениях либо в фальшивых мобильных приложениях, похожих на те, что используют украинские военные. Аналитики Google установили, что хакеры из ГРУ также связывали аккаунты Signal с телефонов, которые они забрали у попавших в плен украинцев или нашли на поле боя.
Эксперты отмечают, что такие же атаки могут предприниматься и для перехвата сообщений в Telegram и WhatsApp. При этом в случае успешной атаки она может быть долгое время незаметна для жертвы. Атаки одной из групп, которую идентифицировали в Google (UNC5792), во многом пересекаются с атаками UAC-0195, ранее идентифицированной CERT-UA. При этом атаки, которые раскрыл CERT-UA, были направлены в первую очередь на перехват сообщений WhatsApp.
В отчете Google подчеркивается, что такие атаки могут выйти за пределы Украины, так как Signal остается популярным среди тех, кто интересует российские спецслужбы, — политиков, журналистов, активистов.