Российские государственные группировки, представляющие угрозу безопасности, взломали учетные записи Signal, используемые украинскими военными и правительственными служащими для прослушивания коммуникаций в режиме реального времени, говорится в отчете Google Threat Intelligence Group , опубликованном в среду.
«Это постоянная, продолжающаяся кампания, проводимая несколькими различными субъектами угроз, связанными с Россией», — сообщил Дэн Блэк, главный аналитик Google Threat Intelligence Group, в электронном письме CyberScoop.
Исследователи обнаружили, что три группы хакеров активизировали усилия по взлому учётных записей Signal, вероятно, с целью получить доступ к конфиденциальной информации, представляющей интерес для российских спецслужб, включая разведданные о вторжении России на Украину. Некоторые из этих попыток относятся к 2023 году.
Чиновники, политические деятели и уязвимые группы населения обратились к Signal и другим приложениям для обмена зашифрованными сообщениями, чтобы снизить риск перехвата сообщений киберпреступниками. В декабре федеральные органы по кибербезопасности рекомендовали использовать Signal и другие приложения для обмена зашифрованными сообщениями после серии атак «Соляного тайфуна» на телекоммуникационные сети США и всего мира.
Растущие усилия группировок, занимающихся киберпреступностью, по атаке на Signal и другие безопасные приложения для обмена сообщениями подвергают эти платформы — альтернативы менее безопасным формам общения — повышенному риску.
«Цель атак, как правило, масштабируется с ростом популярности», — сказал Блэк. «Чем больше общество использует эти безопасные приложения для обмена сообщениями в повседневной жизни, тем выше вероятность того, что они станут объектом атак со стороны других злоумышленников, преследующих шпионские и финансовые цели».
По словам Блэка, объем тактических приемов и связанных с Россией групп угроз, нацеленных на мессенджеры со сквозным шифрованием, неуклонно растет.
Наиболее распространённый метод, обнаруженный Google Threat Intelligence, связан с использованием функции связанных устройств в приложении Signal, которая позволяет пользователям получать доступ к приложению с нескольких устройств одновременно. Группы мошенников разработали и обманным путём заставили украинских военных и сотрудников правительства сканировать вредоносные QR-коды, связывающие учётную запись жертвы с учётной записью Signal, контролируемой группой мошенников.
Удалённые фишинговые операции, включая вредоносные QR-коды, поддельные приглашения в группы, оповещения системы безопасности и другие инструкции по сопряжению устройств, предоставили российским группам угроз постоянное средство для слежки за разговорами в режиме реального времени.
По словам исследователя группы, около половины активности, зафиксированной Google Threat Intelligence Group, была связана с инцидентами после взлома.
В отчете говорится, что группировка Sandworm, которую Google отслеживает как APT44 и которая действует от имени Главного разведывательного управления России 74455 (ГРУ), также позволила российским военным связывать учетные записи Signal на устройствах, захваченных на поле боя, с инфраструктурой, контролируемой группировкой, для последующей эксплуатации.
Google связал две другие предполагаемые российские группировки — UNC5792 и UNC4221 — с активными атаками на аккаунты Signal.
Группа Google Threat Intelligence Group заявила, что расследовала вредоносную активность Signal, которая выпустила обновления безопасности для своих приложений Android и iOS, чтобы помочь защитить аккаунты от подобных фишинговых методов в будущем.
Компания Signal не отреагировала на запрос о комментарии.
Исследователи предупреждают, что угроза не ограничивается Signal, но распространяется на другие платформы обмена сообщениями, включая WhatsApp и Telegram.
«Эта последняя активность — ещё один пример того, на какие меры готовы пойти злоумышленники, чтобы найти новые методы взлома конфиденциальных зашифрованных сообщений», — сказал Блэк. «Хорошая новость заключается в том, что эти приложения для обмена зашифрованными сообщениями представляют собой серьёзную проблему для всех злоумышленников, даже тех, кто пользуется поддержкой ГРУ, — сбор таких сигналов в больших масштабах».
«Это постоянная, продолжающаяся кампания, проводимая несколькими различными субъектами угроз, связанными с Россией», — сообщил Дэн Блэк, главный аналитик Google Threat Intelligence Group, в электронном письме CyberScoop.
Исследователи обнаружили, что три группы хакеров активизировали усилия по взлому учётных записей Signal, вероятно, с целью получить доступ к конфиденциальной информации, представляющей интерес для российских спецслужб, включая разведданные о вторжении России на Украину. Некоторые из этих попыток относятся к 2023 году.
Чиновники, политические деятели и уязвимые группы населения обратились к Signal и другим приложениям для обмена зашифрованными сообщениями, чтобы снизить риск перехвата сообщений киберпреступниками. В декабре федеральные органы по кибербезопасности рекомендовали использовать Signal и другие приложения для обмена зашифрованными сообщениями после серии атак «Соляного тайфуна» на телекоммуникационные сети США и всего мира.
Растущие усилия группировок, занимающихся киберпреступностью, по атаке на Signal и другие безопасные приложения для обмена сообщениями подвергают эти платформы — альтернативы менее безопасным формам общения — повышенному риску.
«Цель атак, как правило, масштабируется с ростом популярности», — сказал Блэк. «Чем больше общество использует эти безопасные приложения для обмена сообщениями в повседневной жизни, тем выше вероятность того, что они станут объектом атак со стороны других злоумышленников, преследующих шпионские и финансовые цели».
По словам Блэка, объем тактических приемов и связанных с Россией групп угроз, нацеленных на мессенджеры со сквозным шифрованием, неуклонно растет.
Наиболее распространённый метод, обнаруженный Google Threat Intelligence, связан с использованием функции связанных устройств в приложении Signal, которая позволяет пользователям получать доступ к приложению с нескольких устройств одновременно. Группы мошенников разработали и обманным путём заставили украинских военных и сотрудников правительства сканировать вредоносные QR-коды, связывающие учётную запись жертвы с учётной записью Signal, контролируемой группой мошенников.
Удалённые фишинговые операции, включая вредоносные QR-коды, поддельные приглашения в группы, оповещения системы безопасности и другие инструкции по сопряжению устройств, предоставили российским группам угроз постоянное средство для слежки за разговорами в режиме реального времени.
По словам исследователя группы, около половины активности, зафиксированной Google Threat Intelligence Group, была связана с инцидентами после взлома.
В отчете говорится, что группировка Sandworm, которую Google отслеживает как APT44 и которая действует от имени Главного разведывательного управления России 74455 (ГРУ), также позволила российским военным связывать учетные записи Signal на устройствах, захваченных на поле боя, с инфраструктурой, контролируемой группировкой, для последующей эксплуатации.
Google связал две другие предполагаемые российские группировки — UNC5792 и UNC4221 — с активными атаками на аккаунты Signal.
Группа Google Threat Intelligence Group заявила, что расследовала вредоносную активность Signal, которая выпустила обновления безопасности для своих приложений Android и iOS, чтобы помочь защитить аккаунты от подобных фишинговых методов в будущем.
Компания Signal не отреагировала на запрос о комментарии.
Исследователи предупреждают, что угроза не ограничивается Signal, но распространяется на другие платформы обмена сообщениями, включая WhatsApp и Telegram.
«Эта последняя активность — ещё один пример того, на какие меры готовы пойти злоумышленники, чтобы найти новые методы взлома конфиденциальных зашифрованных сообщений», — сказал Блэк. «Хорошая новость заключается в том, что эти приложения для обмена зашифрованными сообщениями представляют собой серьёзную проблему для всех злоумышленников, даже тех, кто пользуется поддержкой ГРУ, — сбор таких сигналов в больших масштабах».
