Российские хакеры взламывали аккаунты украинских военных в Signal

Связанные с российским государством хакерские группы взламывали аккаунты украинских военных в мессенджере Signal и получали доступ к их конфиденциальным сообщениям. Об этом сообщает группа анализа угроз Google. Signal уже выпустил обновление для защиты от подобных атак.

Хакеры использовали функцию привязки дополнительных устройств в Signal. Чтобы ей воспользоваться, необходимо с одного устройства отсканировать QR-код, который отображается на другом. Хакеры отправляли поддельные QR-коды, при сканировании которых аккаунт жертвы привязывался к чужим устройствам. Это позволяло злоумышленникам перехватывать переписку.

В Google отмечают, что вредоносные QR-коды часто маскировались под легитимные ресурсы Signal, такие как приглашения в группы, оповещения о безопасности или инструкции по сопряжению устройств. Кроме того, QR-коды встраивались в фишинговые страницы, стилизованные под специализированные приложения, используемые украинскими военными.

Хакеры из связанной с ГРУ группировки Sandworm также сотрудничали с российскими военными на передовой. Они работали над тем, чтобы привязывать учётные записи Signal на устройствах, захваченных на поле боя, к своим системам.

Исследование Google не выявило уязвимостей в самом протоколе шифрования Signal, однако в приложении не оказалось механизмов обнаружения и защиты от взлома через привязку новых устройств. Если атака проходила успешно, взлом мог оставаться незамеченным длительное время.

В Signal заявили, что «внесли несколько изменений, чтобы повысить осведомлённость и защитить пользователей от атак социальной инженерии, описанных в отчёте». В частности, был переработан пользовательский интерфейс, добавлены дополнительные этапы аутентификации и уведомления о привязке новых устройств.