Група розвідки загроз Google (GTIG) зафіксувала активізацію російських хакерських угруповань, які намагаються скомпрометувати облікові записи в Signal Messenger. Основними цілями атак є українські військові, політики, журналісти та активісти, які можуть володіти важливою інформацією для російських спецслужб.
Про це йдеться у звіті Google.
Як зазначили в компанії, ймовірно, що кількість кібератак зросла у зв'язку з війною, проте експерти попереджають, що такі методи можуть поширитися і на інші регіони та платформи, зокрема WhatsApp і Telegram, які також постійно зазнають подібних атак.
"Хоча цей новий оперативний інтерес, ймовірно, був викликаний вимогами воєнного часу отримати доступ до конфіденційних урядових і військових комунікацій у контексті повторного вторгнення росії в Україну, ми очікуємо, що тактика та методи, які використовуються для націлювання на Signal, найближчим часом зростуть і поширяться на додаткові суб'єкти загроз і регіони за межами української війни", — зазначили в Google.
Тактики та методи
Також GTIG оприлюднила публічне попередження щодо тактики та методів, які використовуються сьогодні, аби допомогти підвищити обізнаність громадськості та допомогти громадам краще захистити себе від подібних загроз.
- Фішингові кампанії зі зловживанням функцією "Підключені пристрої" Signal — за допомогою функції "пов'язані пристрої", можна використовувати Signal на кількох пристроях одночасно. Так зловмисники створюють шкідливі QR-коди, які після сканування зв'язують обліковий запис жертви з інстансом Signal.
- Російський шпигунський кластер UNC5792 використав функцію прив’язки пристроїв Signal для компрометації облікових записів, змінюючи законні сторінки "групового запрошення" у фішингових кампаніях. Так, сторінки спрямовували жертву на шкідливу URL-адресу, що ініціювала прив’язку пристрою, контрольованого зловмисниками, до її облікового запису.
- UNC4221 — активно атакує облікові записи Signal українських військових, використовуючи спеціальний фішинговий комплект, замаскований під компоненти програми "Кропива" для артилерійського наведення. Як і UNC5792, ця група видає прив’язку пристрою за запрошення до групи Signal від довіреного контакту. Використовувалися різні варіанти атак, зокрема фішингові сайти, які перенаправляли жертв на підроблені інструкції щодо прив’язки пристроїв Signal, а також сайти зі шкідливим QR-кодом, що автоматично прив’язував пристрій атакуючих до акаунта жертви.
- Використання російськими та білоруськими хакерами різних методів для викрадення повідомлень, наприклад застосування програми WAVESIGN, що копіює повідомлення з бази даних Signal і передає їх через Rclone. Sandworm створив Android-вірус Infamous Chisel, який шукає файли месенджерів, зокрема Signal. фсб використовує PowerShell-скрипти для викрадення повідомлень із Signal Desktop, а білоруська UNC1151 копіює файли Signal через командний інструмент Robocopy.
Як захиститися?
- Встановити блокування екрана. Краще використати довгий та складний пароль з поєднанням великих та малих літер, символів та цифр.
- Встановлювати оновлення операційної системи якнайшвидше та використовувати останню версію додатків.
- Увімкнути функцію Google Play Захисту.
- Регулярно перевіряти підключені пристрої на наявність неавторизованих пристроїв, перейшовши до розділу "Підключені пристрої" в налаштуваннях програми.
- Бути обережними під час взаємодії з QR-кодами та веб-ресурсами, які нібито є оновленнями програмного забезпечення, груповими запрошеннями чи іншими сповіщеннями, які виглядають законними та закликають до негайних дій.
- Використовувати двофакторну автентифікацію.
- Користувачі iPhone можуть скористуватися режимом блокування.
Нагадуємо, у Міноборони Австралії заявили, що конфлікт в Україні повинен вирішуватися на умовах Києва, адже саме росія є агресором.