Пророссийские хакеры устроили систему кибератак на украинских военных, а также политиков, журналистов и активистов через взлом аккаунтов в мессенджере Signal. Ряд злоумышленников таким способом крадет конфиденциальную информацию, которая должна помочь российским войскам во время вторжения в Украину, сообщила команда безопасности Google.
Хакеры, среди которых упоминается связанный с Главным разведывательным управлением РФ Sandworm (APT44), в основном используют опцию привязки дополнительных устройств в Signal.
Злоумышленники создают фальшивые QR-коды, при сканировании которых аккаунт жертвы привязывается к чужим устройствам. Благодаря этому хакеры могут перехватывать переписку человека, который является целью атаки. Обычно такие QR-коды маскируются под легальные приглашения в сообщество Signal или сообщения о безопасности, а также внедряются в фейковые страницы, которые имитируют те сайты, которые используются бойцами ВСУ.
Так, российский хакер, известный как UNC4221, создал фишинговое приложение для Signal, которое воспроизводит сервис «Крапива», используемый ВСУ для наведения артиллерии.
Другие киберпреступники наряду с привязкой устройств в Signal также крадут файлы баз данных мессенджера с устройств Android и Windows. Так, Sandworm использовал вредоносное ПО Wavesign для извлечения сообщений из архива в Signal жертвы. Другой российский хакер, Turla, использовал скрипт PowerShell для кражи сообщений Signal с рабочего стола.
Подобные атаки хакеры могут совершать и для перехвата переписки в Telegram и WhatsApp, предупредили специалисты. Причем в случае успеха жертва долгое время может не замечать «внедрение».
Signal уже разработал обновление для устройств на Android и iOS с улучшенными функциями безопасности для защиты от подобных нападений, отметили в Google.
Комментарии