Российские хакеры, спонсируемые государством, были замечены в продолжающейся фишинговой кампании против пользователей Signal и WhatsApp*, нацеленной на государственных служащих, военнослужащих и журналистов с целью получения доступа к конфиденциальным сообщениям.
Этот отчет предоставлен Службой военной разведки и безопасности Нидерландов (MIVD) и Генеральной службой разведки и безопасности Нидерландов (AIVD), которые подтвердили, что атакам подверглись сотрудники голландского правительства.
Голландские спецслужбы заявляют, что операция основана на методах фишинга и социальной инженерии, которые злоупотребляют легитимными функциями аутентификации для захвата учетных записей и скрытого мониторинга новых сообщений.
Signal сообщила в социальных сетях, что осведомлена о целенаправленных фишинговых атаках, которые привели к захвату учетных записей, и призвала пользователей сохранять бдительность.
“Мы знаем о недавних сообщениях, касающихся целенаправленных фишинговых атак, которые привели к захвату учетных записей некоторых пользователей Signal, включая государственных служащих и журналистов”, — сообщила Signal в BlueSky.
“Мы относимся к этому очень серьезно. Чтобы внести ясность: шифрование и инфраструктура Signal не были скомпрометированы и остаются надежными. Эти атаки проводились посредством изощренных фишинговых кампаний, разработанных для того, чтобы обманом заставить пользователей предоставить информацию — SMS-коды и/или PIN-код Signal — для получения доступа к учетным записям пользователей”.
Signal заявляет, что при отправке SMS-кодов они всегда предупреждают о недопустимости передачи SMS-кодов или PIN-кодов кому-либо, включая сотрудников или сервисы Signal.
Фишинговые сообщения маскируются под службу поддержки Signal
Один из основных методов атаки включает в себя выдачу себя за поддельный “Чат-бот службы безопасности Signal”, который предупреждает пользователя о том, что на его учетной записи обнаружена подозрительная активность.
Затем в сообщении пользователю предлагается пройти “процедуру верификации”, предоставив код подтверждения, отправленный на его телефон.
“Мы заметили подозрительную активность на вашем устройстве, которая могла привести к утечке данных. Мы также обнаружили попытки получить доступ к вашим личным данным в Signal”, — говорится в фишинговом сообщении Signal.
“Чтобы предотвратить это, вы должны пройти процедуру верификации, введя код подтверждения в Чат-бот службы безопасности Signal”.
После того как жертва предоставляет SMS-код подтверждения и свой PIN-код Signal, злоумышленники могут получить полный контроль над учетной записью, зарегистрировав ее на своем устройстве.
Согласно предупреждению, как только злоумышленники получают доступ к учетной записи, они также могут изменить номер телефона, связанный с ней, на номер, находящийся под их контролем. Это позволяет им получить доступ к списку контактов жертвы и входящим сообщениям, включая сообщения, отправленные в групповых чатах.
Злоумышленники также могут выдавать себя за жертву, отправляя сообщения с скомпрометированной учетной записи.
Поскольку история чатов Signal хранится локально на устройстве, при повторной регистрации новой учетной записи жертвы смогут восстановить доступ к своим старым сообщениям, что может создать у них впечатление, что ничего необычного не произошло.
“Жертва не может получить доступ к своей учетной записи, хотя она может создать новую учетную запись Signal, используя свой существующий номер телефона, поскольку злоумышленник уже связал скомпрометированную учетную запись с новым номером телефона”, — предупреждают голландские спецслужбы.
“Поскольку Signal хранит историю чатов локально на телефоне, жертва может восстановить доступ к этой истории после повторной регистрации. В результате жертва может предположить, что все в порядке. Голландские службы хотят подчеркнуть, что это предположение может быть неверным”.
В консультативном уведомлении также говорится, что был замечен второй метод, злоупотребляющий функцией привязки устройств в Signal и WhatsApp*.
Злоумышленники отправляют жертвам вредоносный QR-код или ссылку, которые выглядят как приглашение присоединиться к групповому чату или связаться с другим пользователем. Когда жертва сканирует код или открывает ссылку, вместо этого к учетной записи жертвы привязывается устройство злоумышленника.
И Signal, и WhatsApp* предлагают функцию «привязанное устройство» (linked device), которая позволяет пользователям подключать такие устройства, как компьютеры или планшеты, к своим учетным записям, чтобы они могли отправлять и получать сообщения с нескольких устройств. Обычно это делается путем сканирования QR-кода, сгенерированного основным мобильным устройством, что авторизует новое устройство для доступа к сообщениям учетной записи и их синхронизации.
После подключения злоумышленник получает доступ к сообщениям жертвы и может читать историю чатов, отслеживать разговоры в режиме реального времени и отправлять сообщения от имени жертвы.
В отличие от захвата учетных записей, жертвы обычно сохраняют доступ к своим учетным записям, что может затруднить обнаружение взлома.
Голландские спецслужбы советуют пользователям не передавать конфиденциальную или секретную информацию через приложения для обмена сообщениями, если это не одобрено специально.
Они также рекомендуют проверять список устройств, привязанных к учетным записям Signal и WhatsApp*, и немедленно удалять неизвестные устройства.
Те же меры предосторожности против атак фишинга по электронной почте применимы и к приложениям для обмена сообщениями, включая игнорирование нежелательных приглашений, ссылок или QR-кодов, если их легитимность не была подтверждена через другой доверенный канал связи.
Подобные фишинговые кампании в приложениях для обмена сообщениями не новы.
В прошлом году Google сообщила, что российские злоумышленники нацеливались на пользователей Signal, злоупотребляя такими функциями, как привязка устройств, для получения доступа к коммуникациям жертв.
В декабре GenDigital обнаружила фишинговую кампанию с QR-кодами для привязки устройств WhatsApp*, нацеленную на пользователей в Чехии, хотя она не была связана с какой-либо конкретной угрозой.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lawrence Abrams
