По данным исследователей Google, российские хакеры пытались взломать учетные записи украинских военнослужащих в Signal, используя ключевую функцию приложения для обмена зашифрованными сообщениями, пишет Forbes.
По информации издания, Google обнаружил множество примеров, когда российские хакеры пытались взломать Signal с помощью вредоносных QR-кодов. Приложение для обмена зашифрованными сообщениями использует эти коды для связи учетных записей пользователей на разных устройствах. В этой атаке используются поддельные коды, которые привязывают аккаунты к устройствам, управляемым хакерами, которые их отправляют.
«В случае успеха будущие сообщения будут синхронно доставляться как жертве, так и субъекту угрозы в режиме реального времени, обеспечивая постоянное средство подслушивания защищенных разговоров жертвы без необходимости полной компрометации устройства», — написал главный аналитик Google Threat Intelligence Group Дэн Блэк в отчете, опубликованном в среду.
Google обнаружила несколько примеров использования этой атаки в реальных условиях. В одном случае фальшивая веб-страница Вооруженных сил Украины содержала предложение солдатам присоединиться к группе Signal, отсканировав встроенный QR-код, который свяжет Signal пользователя с российскими операторами.
«Проникновение в эти устройства может обеспечить скрытое проникновение в различные типы конфиденциальной информации, что может привести к серьезным последствиям в случае их компрометации», — отмечает Блэк.
Он считает, что атаки были организованы поддерживаемой Кремлем группой кибершпионажа Sandworm, наиболее известной тем, что в 2015 и 2016 годах она вывела из строя украинскую энергетическую инфраструктуру. Ее оперативники были замечены в сотрудничестве с российскими военными на территории Украины для взлома учетных записей Signal на телефонах, захваченных на поле боя.
Блэк рассказал изданию, что, хотя защищенные приложения для обмена сообщениями могут быть важнейшим средством связи для военнослужащих, их полезность имеет двоякое значение.
«Поскольку они предоставляют столь важные возможности, проникновение на эти устройства может обеспечить скрытый доступ к различным видам конфиденциальной информации, что может привести к серьезным последствиям, если они будут скомпрометированы», — говорит он.
Google также обнаружил примеры создания несколькими российскими группами вредоносного ПО для Windows и Android, чтобы перехватывать данные Signal из операционных систем Microsoft и Google.
Бывший заместитель главы Государственной службы специальной связи и защиты информации (ГСССЗИ) Виктор Жора рассказал Forbes, что атаки на Signal стали обычным делом в Украине с начала войны, особенно с помощью метода «Qishing» (фишинг через QR-код). Во многом это объясняется широкой популярностью приложения в стране и его использованием военными, добавил он.
По словам Блэка, Москва активизировала свои действия в отношении приложений для обмена зашифрованными сообщениями в первую годовщину вторжения весной 2023 года, когда на горизонте замаячило контрнаступление Украины, а Россия перешла в оборону.
Согласно отчету Блэка, компания Signal сотрудничала с Google в рамках исследования и добавила некоторые «усиления» в последние версии приложения.
«Хотя атаки не использовали никаких уязвимостей в Signal, мы внесли ряд изменений, чтобы повысить осведомленность и защитить пользователей от типов атак социальной инженерии, описанных в отчете», — заявил старший технолог Signal Джош Лунд.
Он рассказал, что обновленное приложение включает в себя новый пользовательский интерфейс, который делает более понятным, когда кто-то подключает новое устройство. По словам Лунда, уведомление позволит пользователю одним касанием просмотреть и удалить все неизвестные или нежелательные связанные устройства.
Помимо обновления до последней версии Signal, служба безопасности Украины ранее рекомендовала военнослужащим «быть особенно осторожными при получении сообщений со словами «срочно», «экстренно» и «важно» от непроверенного отправителя… Срочность часто используется преступниками для взлома через доверие и спешку».