Диджитал Российско-украинская война "Безопасный" мессенджер атаковали хакеры: как похищают данные через Signal, — расследование
QR-коды, приглашения в группы и от доверенных контактов, фальшивые инструкции для пользователей — все это лишь часть методов из арсенала российских киберпреступников. Часть усилий была направлена именно на военных, и для этого они научились имитировать "Крапиву".
Related video
Российские хакеры пытаются обманными путями похитить данные через мессенджер Signal, известный высоким уровнем безопасности. Об этом говорится в отчете-расследовании менеджера по анализу кибершпионажа в Google Cloud's Mandiant Дэна Блэка, опубликованном 20 февраля от имени Google Threat Intelligence Group (GTIG) — команды Google, которая занимается анализом угроз кибербезопасности.
Сообщается, что атаки нацелены на лиц, которые "представляют интерес для российских спецслужб". В GTIG ожидают, что тактика и методы, которые сейчас используют хакеры против Signal, в будущем станут более распространенными, в том числе за пределами "украинского театра войны".
Signal — популярен среди военнослужащих, политиков, журналистов, активистов и других групп риска, что делает программу ценной целью для киберпреступников. Чтобы завладеть конфиденциальной информацией, они прибегают к хитростям.
Вредные QR-коды
Самая новая и распространенная техника — злоупотребление функцией "связанных устройств", которая позволяет использовать мессенджер, например, с телефона и планшета одновременно. Чтобы подключить дополнительное устройство, нужно просканировать специальный QR-код.
Хакеры создают вредоносные QR-коды, просканировав которые, пользователи соединяют свою учетную запись с устройством злоумышленника. В результате ему в режиме реального времени приходят все сообщения, обеспечивая постоянное средство прослушивания.
Часто вредоносные QR-коды маскировали под настоящие ресурсы Signal, например приглашения в группы, оповещения системы безопасности или инструкции по подключению устройств. В более специализированных операциях хакеры создавали фальшивые веб-страницы, которые маскировали под программы для военных, и туда уже встраивали QR-коды.
Хакер APT44 (также известный как Sandworm или Seashell Blizzard, его связывают с Главным центром специальных технологий ГРУ РФ) работал над тем, чтобы использовать для похищения данных захваченные у воинов на фронте устройства. То есть условно оккупанты находят смартфон украинского военного, Signal на нем привязывают к контролируемому серверу. Кроме того, что киберпреступник видит чужие сообщения, даже если сам телефон будет у него уже не на руках, он может выдавать себя за владельца.
Отмечается, что если удается благодаря связыванию устройств получить доступ к данным, доступ может оставаться длительное время. Это объясняется отсутствием средств защиты для соответствующего мониторинга, поэтому "лишнее" устройство может долго быть незамеченным.
Фальшивые приглашения в группы
Российская шпионская группа UNC5792 изменила страницы "групповых приглашений". Хакеры использовали модифицированные "приглашения" в группы Signal, разработанные таким образом, чтобы они выглядели идентично настоящим.
Однако в поддельных групповых приглашениях код JavaScript, который обычно направляет пользователя в группу, заменяли вредоносным блоком. Он содержал унифицированный идентификатор ресурса (URI), который используется программой для связывания с новым устройством. То есть жертвы таких атак думали, что объединяются в группы в Signal, а на самом деле предоставляли полный доступ к своим аккаунтам хакерам.
Имитация программы "Крапива"
Еще одна хакерская группа, связанная с Россией — UNC4221. Ее усилия были сосредоточены на украинских военнослужащих. Хакеры разработали фальшивую версию компонентов программы "Крапива", которую ВСУ используют для наведения артиллерии. Цель — также похищение данных из Signal. Кроме того, хакеры пытались замаскировать связывание устройств под приглашение в группу от доверенного контакта.
Были зафиксированы различные вариации таких фишинговых атак:
- через фальшивые веб-сайты, которые выглядели как законные инструкции по связыванию устройств;
- через вредоносные QR-коды, встроенные непосредственно в поддельную "Крапиву".
Киберпреступники использовали специальный код PINPOINT, который позволял собирать основную информацию пользователя и данные его геолокации с помощью API GeoLocation.
Более широкие попытки похищения данных
Также хакеры работали над тем, чтобы похищать файлы базы данных Signal. Атаки были нацелены на устройства Android и Windows.
APT44 работал с инструментом WAVESIGN, который регулярно отправляет запросы в базу данных. В то же время с помощью Rclone выгружались ответы с новейшими сообщениями в системе. Вредоносное ПО Infamous Chisel, также вероятно созданное Sandworm, искало на Android-устройствах файлы, связанные с Signal, для похищения.
Хакер Turla, которого США и Великобритания приписывают Центру 16 ФСБ, использовал специальный скрипт PowerShell, чтобы после заражения компьютера получать сообщения с Signal Desktop. UNC1151, связанный с Беларусью, использовал утилиту Robocopy, чтобы копировать файлы с Signal Desktop для дальнейшего похищения.
Как себя обезопасить
В Google дали советы, как защитить свои личные устройства от возможных хакерских атак:
- включить блокировку экрана на всех устройствах и выбрать сложный пароль (большие и маленькие буквы, цифры и символы);
- как можно быстрее обновлять операционные системы и всегда использовать последнюю версию Signal;
- убедиться, что включена функция Google Play Protect, которая проверяет программы и устройства на вредоносное поведение;
- регулярно проверять связанные устройства в настройках;
- осторожно взаимодействовать с QR-кодами и веб-ресурсами, которые выглядят как обновления ПО, приглашения в группы или другие оповещения, побуждающие к немедленным действиям;
- используйте по возможности двухфакторную аутентификацию, в том числе через отпечаток пальца, распознавание лица, ключ безопасности или одноразовый код.
Пользователям iPhone отдельно порекомендовали рассмотреть возможность включить режим блокировки.
"Мы благодарны команде Signal за тесное сотрудничество в расследовании этой деятельности. Последние версии Signal для Android и iOS содержат усиленные функции, предназначенные для защиты от подобных фишинговых кампаний в будущем. Обновите до последней версии, чтобы включить эти функции", — отметили в GTIG.
Напомним, Apple представила iPhone 16e, оснащенный чипом A18 и первым сотовым модемом C1. Аналитики сообщили о результате тайного сотрудничества компании со SpaceX.
Сейчас телевизор можно заменить портативным проектором, который подойдет для кино, игр и работы. Фокус собрал пять недорогих моделей, которые стоят на украинском рынке от 4 500 гривен.
