Російські хакерські угруповання, які працюють на ГРУ, отримували доступ до секретної інформації через злам месенджера Signal на пристроях українських військових. Про це повідомляє Google Threat Intelligence Group.

Як це відбувалося

Як виявили в Google, росіяни зламували акаунти Signal з допомогою функції «пов’язаний пристрій», яка дозволяє використовувати месенджер на кількох пристроях одночасно.

Підключення додаткового пристрою зазвичай потребує сканування QR-коду. Зловмисники створювали QR-коди, які під час сканування пов’язували обліковий запис жертви з екземпляром Signal під контролем хакерів. Після цього вони отримували доступ до всієї подальшої переписки жертв.

Зловмисні QR-коди маскували під автентичні повідомлення Signal: запрошення до груп, сповіщення системи безпеки або як законні інструкції з підключення пристроїв із вебсайту Signal. У більш спеціалізованих операціях у фішингові сторінки, замасковані під спеціалізовані програми, які використовують ЗСУ, вбудовували шкідливі QR-коди.

Угруповання APT44 (вони ж Sandworm або Seashell Blizzard – російська хакерська група, яку повʼязують з ГРУ) зламувало Signal-акаунти з пристроїв, захоплених росіянами на полі бою для подальшої експлуатації.

Хакерська шпигунська група UNC5792 зламувала акаунти Signal, маскуючи фішингові кампанії під «запрошення в групу».

Також на акаунти українських військових в месенджері полювало угруповання UNC4221, яке українська команда CERT-UA ідентифікує як UAC-0185. Група використовувала спеціалізовану атаку, в рамках якої фішингові компоненти маскували під застосунок «Кропива», яке українські військові використовують для коригування артилерійського вогню.

UNC4221 також використовувала невеличкий JavaScript-код, який збирав користувацьку інформацію та геолокацію скомпрометованого користувача з допомогою GeoLocation API в браузері.

Що робити?

Signal вже оновив свої застосунки для Android та iOS, додавши функції, призначені для захисту від подібних фішингових кампаній у майбутньому. В Google рекомендують оновитися до останньої версії, щоб увімкнути ці функції.

Також, команда Google Threat Intelligence Group дала ряд рекомендацій, щоб убезпечитись від атак. Зокрема дотримуватися їх рекомендується працівникам уряду, військовим, журналістам та всім, хто потенційно може перебувати в зоні інтересів російських спецслужб:

• Увімкніть блокування екрана на всіх мобільних пристроях з довгим складним паролем, який містить рандомний набір великих та малих літер, цифр і символів. Android підтримує буквено-цифрові паролі, які забезпечують значно більший захист, ніж лише цифрові PIN-коди.
• Встановлюйте оновлення операційної системи якнайшвидше та завжди використовуйте останню версію Signal та інших програм для обміну повідомленнями.
• Користувачам Android радять переконатися, що увімкнено Google Play Protect, що перевіряє ваші програми та пристрої на шкідливу поведінку та може попереджати користувачів або блокувати програми, які, як відомо, демонструють зловмисну ​​поведінку, навіть якщо ці програми походять із джерел за межами Play. Користувачам iPhone – увімкнути Lockdown Mode, щоб зменшити поле для атак.
• Регулярно перевіряйте зв’язані пристрої на наявність неавторизованих пристроїв, перейшовши до розділу «Пов’язані пристрої» в налаштуваннях програми.
• Будьте обережні під час взаємодії з QR-кодами та вебресурсами, які нібито є оновленнями програмного забезпечення, груповими запрошеннями чи іншими сповіщеннями, які здаються законними та закликають до негайних дій.
• За можливості, використовуйте двофакторну автентифікацію, таку як відбиток пальця, розпізнавання обличчя, ключ безпеки або одноразовий код, щоб перевірити, коли ваш обліковий запис увійшов або пов’язаний з новим пристроєм.