«Уважаемый пользователь, это чат-бот службы поддержки Signal Security. Мы заметили подозрительную активность на вашем устройстве, которая могла привести к утечке данных», — гласило сообщение, полученное им в аккаунте Signal.
«Мы также обнаружили попытки получить доступ к вашим личным данным в Signal», — утверждалось в сообщении.
«Чтобы предотвратить это, вы должны пройти процедуру верификации, введя проверочный код в чат-бот службы поддержки Signal Security. НИКОМУ НЕ СООБЩАЙТЕ КОД, ДАЖЕ СОТРУДНИКАМ SIGNAL».
Очевидно, О’Карвилл, возглавляющий Лабораторию безопасности Amnesty International, немедленно распознал в этом «недальновидную» попытку взлома его аккаунта в Signal. Вместо этого он решил, что это хорошая возможность для неожиданного расследования.
Исследователь сообщил TechCrunch, что до этого момента он «никогда сознательно» не становился жертвой кибератаки с однократным нажатием или подобной фишинговой попытки.
«Когда атака оказалась в моем почтовом ящике, и появился шанс переиграть злоумышленников и узнать больше о кампании, я не мог упустить такую возможность», — сказал он.
Как выяснилось, попытка атаки на О’Карвилла, вероятно, была частью более широкой кампании взлома, нацеленной на большую группу пользователей Signal. Стратегия хакеров заключалась в том, чтобы выдавать себя за Signal, предупреждать о ложных угрозах безопасности и пытаться обманом заставить жертв предоставить хакерам доступ к их аккаунту, связав его с устройством, контролируемым хакерами.
Эти методы были в точности такими же, как те, что наблюдались в более широкой кампании, о которой предупреждали агентство по кибербезопасности США CISA, агентство по кибербезопасности Великобритании и голландская разведка, и которые они связывали с российскими правительственными шпионами. Signal также предупреждал о фишинговых атаках, нацеленных на своих пользователей. Немецкий новостной журнал Der Spiegel выяснил, что российским хакерам удалось скомпрометировать нескольких человек в стране, включая высокопоставленных политиков.
О’Карвилл сообщил в серии онлайн-постов, что ему удалось выяснить, что он был одним из более чем 13 500 целей. Он отказался раскрывать, как именно он расследовал попытку взлома и кампанию, чтобы не раскрыть свои карты хакерам, но поделился некоторыми подробностями о том, что узнал.
Во-первых, он понял, что среди других целей были журналисты, с которыми он работал, а также коллега. В тот момент О’Карвилл уже подозревал, что это была оппортунистическая атака, в ходе которой хакеры компрометировали цели и выявляли новых потенциальных жертв благодаря успешным атакам.
О’Карвилл назвал это «гипотезой снежного кома» и заявил, что убежден, что стал целью, потому что, вероятно, состоял в групповом чате с кем-то, кого взломали, что дало хакерам шанс найти контактную информацию новых целей.
Исследователь сообщил, что ему удалось идентифицировать систему, которую использовали хакеры, — она называется «ApocalypseZ». Эта система автоматизирует атаку, позволяя хакерам одновременно атаковать большое количество людей в пакетном режиме с минимальным контролем со стороны человека.
Он также обнаружил, что кодовая база и интерфейс оператора на русском языке, а хакеры переводили чаты жертв на русский, что соответствует гипотезе о том, что за аналогичными кампаниями стоит та же российская правительственная хакерская группа.
О’Карвилл сообщил, что все еще отслеживает кампанию и видит продолжение атак, а это значит, что общее число целей, безусловно, намного выше, чем то число, которое он видел в начале этого года.
Он выразил сомнение, что хакеры снова попытаются атаковать его, и, вероятно, пожалели, что вообще на него нацелились. Он сказал: «Я приветствую будущие сообщения, особенно если у них есть эксплойты нулевого дня, которыми они хотели бы поделиться», имея в виду уязвимости безопасности, которые еще не известны поставщику и часто используются в атаках, которые он расследует.
О’Карвилл посоветовал пользователям Signal, обеспокоенным тем, что они могут стать целью такого типа атаки, включить Блокировку регистрации — функцию, которая позволяет пользователям установить ПИН-код для своего аккаунта, что не позволяет другим зарегистрировать их номер телефона на другом устройстве.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lorenzo Franceschi-Bicchierai
