Російські хакери стежили за акаунтами українських військових у Signal

Російські хакери проникли в облікові записи деяких українських військових у месенджері Signal і отримали доступ до конфіденційних повідомлень.

Про це йдеться у повідомленні Google.

Команда Google повідомляє, що кілька хакерських груп, тісно пов’язаних з російським урядом, здійснювали фішингові атаки. Ці групи, позначені як UNC5792 та UNC4221.

Вони використовували функцію месенджера для сканування QR-кодів, щоб приєднатися до нових груп і чатів. Надсилали фішингові повідомлення з запрошеннями в чати через QR-коди, що містили приховані javascript-команди, які дозволяли під’єднати смартфон жертви до нового пристрою та отримати доступ до всіх її повідомлень.

Ці повідомлення виглядали як звичайні запрошення до чатів, що, здавалося, належать військовим групам у Signal. Однак, коли жертви сканували QR-код, їх пристрій одразу підключався до пристрою зловмисників, надаючи доступ до історії повідомлень.

Команди Google та Signal стверджують, що ця схема не порушувала шифрування месенджера. Натомість вона використовувала два функціональні QR-коди: один для запрошення до нової групи, а інший — для з’єднання акаунта з пристроєм зловмисників через функцію “Зв’язані пристрої”. Під час сканування ці QR-коди непомітно для користувача замінювали один одного.

Signal вже випустила оновлення для застосунку на iOS та Android, яке має на меті запобігти таким випадкам. Відтепер користувачів попереджатимуть, коли їх акаунт намагаються з’єднати з новим пристроєм та попросять додатково підтвердити, що вони хочуть поділитися повідомленнями.

Google зазначає, що така стратегія не обмежувалась лише українцями, а використовувалася й проти активістів, журналістів та інших користувачів Signal по всьому світу.

Нагадаємо, що у вересні 2024 року хакери розповсюдили серед військовослужбовців через месенджер Signal повідомлення з посиланнями для завантаження застосунків начебто військових систем Griselda й «Очі». 

Фото: колаж ЦПД