Пророссийские хакеры наладили систему кибератак на украинских военных, а также политиков, журналистов и активистов через взлом аккаунтов в мессенджере Signal. Ряд злоумышленников таким способом крадет конфиденциальную информацию, которая должна помочь российским войскам в ходе вторжения в Украину, сообщила команда по безопасности Google.
Хакеры, среди которых упоминается связанный с Главным разведуправлением РФ (ГРУ) Sandworm (APT44), в основном используют опцию привязки дополнительных устройств в Signal. Злоумышленники создают ложные QR-коды, при сканировании которых аккаунт жертвы привязывается к чужим девайсам. Благодаря этому хакеры могут перехватывать переписку цели атаки. Обычно такие QR-коды маскируются под легальные приглашения в группу Signal или уведомления о безопасности, а также внедряются в фейковые страницы, имитирующие используемые бойцами ВСУ сайты. Так, российский хакер, известный как UNC4221, создал фишинговое приложение для Signal, который воссоздает сервис «Крапива», используемое ВСУ для наведения артиллерии.
Другие киберпреступники наряду с привязкой устройств в Signal также крадут файлы баз данных мессенджера с устройств Android и Windows. Так, Sandworm использовал вредоносное ПО Wavesign для извлечения сообщений из архива в Signal жертвы. Другой российский хакер, Turla, использовал скрипт PowerShell для кражи сообщений Signal с рабочего стола. Подобные атаки хакеры могут предпринимать и для перехвата переписки в Telegram и WhatsApp, предупредили специалисты. Причем в случае успеха жертва долгое время может не замечать «внедрение».
Signal уже разработал обновление для устройств на Android и iOS с улучшенными функциями безопасности для защиты от подобных атак, отметили в Google.
