"Безопасный" мессенджер атаковали хакеры: как похищают данные через Signal, — расследование

Российские хакеры пытаются обманными путями похитить данные через мессенджер Signal, известный высоким уровнем безопасности. Об этом говорится в отчете-расследовании менеджера по анализу кибершпионажа в Google Cloud's Mandiant Дэна Блэка, опубликованном 20 февраля от имени Google Threat Intelligence Group (GTIG) — команды Google, которая занимается анализом угроз кибербезопасности.

Сообщается, что атаки нацелены на лиц, которые "представляют интерес для российских спецслужб". В GTIG ожидают, что тактика и методы, которые сейчас используют хакеры против Signal, в будущем станут более распространенными, в том числе за пределами "украинского театра войны".

Signal — популярен среди военнослужащих, политиков, журналистов, активистов и других групп риска, что делает программу ценной целью для киберпреступников. Чтобы завладеть конфиденциальной информацией, они прибегают к хитростям.

Вредные QR-коды

Самая новая и распространенная техника — злоупотребление функцией "связанных устройств", которая позволяет использовать мессенджер, например, с телефона и планшета одновременно. Чтобы подключить дополнительное устройство, нужно просканировать специальный QR-код.

Хакеры создают вредоносные QR-коды, просканировав которые, пользователи соединяют свою учетную запись с устройством злоумышленника. В результате ему в режиме реального времени приходят все сообщения, обеспечивая постоянное средство прослушивания.

Часто вредоносные QR-коды маскировали под настоящие ресурсы Signal, например приглашения в группы, оповещения системы безопасности или инструкции по подключению устройств. В более специализированных операциях хакеры создавали фальшивые веб-страницы, которые маскировали под программы для военных, и туда уже встраивали QR-коды.

Хакер APT44 (также известный как Sandworm или Seashell Blizzard, его связывают с Главным центром специальных технологий ГРУ РФ) работал над тем, чтобы использовать для похищения данных захваченные у воинов на фронте устройства. То есть условно оккупанты находят смартфон украинского военного, Signal на нем привязывают к контролируемому серверу. Кроме того, что киберпреступник видит чужие сообщения, даже если сам телефон будет у него уже не на руках, он может выдавать себя за владельца.

Отмечается, что если удается благодаря связыванию устройств получить доступ к данным, доступ может оставаться длительное время. Это объясняется отсутствием средств защиты для соответствующего мониторинга, поэтому "лишнее" устройство может долго быть незамеченным.

Фальшивые приглашения в группы

Российская шпионская группа UNC5792 изменила страницы "групповых приглашений". Хакеры использовали модифицированные "приглашения" в группы Signal, разработанные таким образом, чтобы они выглядели идентично настоящим.

Однако в поддельных групповых приглашениях код JavaScript, который обычно направляет пользователя в группу, заменяли вредоносным блоком. Он содержал унифицированный идентификатор ресурса (URI), который используется программой для связывания с новым устройством. То есть жертвы таких атак думали, что объединяются в группы в Signal, а на самом деле предоставляли полный доступ к своим аккаунтам хакерам.

Имитация программы "Крапива"

Еще одна хакерская группа, связанная с Россией — UNC4221. Ее усилия были сосредоточены на украинских военнослужащих. Хакеры разработали фальшивую версию компонентов программы "Крапива", которую ВСУ используют для наведения артиллерии. Цель — также похищение данных из Signal. Кроме того, хакеры пытались замаскировать связывание устройств под приглашение в группу от доверенного контакта.

Были зафиксированы различные вариации таких фишинговых атак:

• через фальшивые веб-сайты, которые выглядели как законные инструкции по связыванию устройств;
• через вредоносные QR-коды, встроенные непосредственно в поддельную "Крапиву".

Киберпреступники использовали специальный код PINPOINT, который позволял собирать основную информацию пользователя и данные его геолокации с помощью API GeoLocation.

Более широкие попытки похищения данных

Также хакеры работали над тем, чтобы похищать файлы базы данных Signal. Атаки были нацелены на устройства Android и Windows.

APT44 работал с инструментом WAVESIGN, который регулярно отправляет запросы в базу данных. В то же время с помощью Rclone выгружались ответы с новейшими сообщениями в системе. Вредоносное ПО Infamous Chisel, также вероятно созданное Sandworm, искало на Android-устройствах файлы, связанные с Signal, для похищения.

Хакер Turla, которого США и Великобритания приписывают Центру 16 ФСБ, использовал специальный скрипт PowerShell, чтобы после заражения компьютера получать сообщения с Signal Desktop. UNC1151, связанный с Беларусью, использовал утилиту Robocopy, чтобы копировать файлы с Signal Desktop для дальнейшего похищения.

Как себя обезопасить

В Google дали советы, как защитить свои личные устройства от возможных хакерских атак:

• включить блокировку экрана на всех устройствах и выбрать сложный пароль (большие и маленькие буквы, цифры и символы);
• как можно быстрее обновлять операционные системы и всегда использовать последнюю версию Signal;
• убедиться, что включена функция Google Play Protect, которая проверяет программы и устройства на вредоносное поведение;
• регулярно проверять связанные устройства в настройках;
• осторожно взаимодействовать с QR-кодами и веб-ресурсами, которые выглядят как обновления ПО, приглашения в группы или другие оповещения, побуждающие к немедленным действиям;
• используйте по возможности двухфакторную аутентификацию, в том числе через отпечаток пальца, распознавание лица, ключ безопасности или одноразовый код.

Пользователям iPhone отдельно порекомендовали рассмотреть возможность включить режим блокировки.

"Мы благодарны команде Signal за тесное сотрудничество в расследовании этой деятельности. Последние версии Signal для Android и iOS содержат усиленные функции, предназначенные для защиты от подобных фишинговых кампаний в будущем. Обновите до последней версии, чтобы включить эти функции", — отметили в GTIG.

Сейчас телевизор можно заменить портативным проектором, который подойдет для кино, игр и работы. Фокус собрал пять недорогих моделей, которые стоят на украинском рынке от 4 500 гривен.