Звіт Google попереджає про російські групи загроз, націлені на Signal Messenger

19 февраля 2025 г., 17:15

В опублікованому Threat Intelligence Group компанії Google звіті йдеться про те, що підтримувані російською державою групи загроз все частіше націлюються на користувачів месенджера Signal, намагаючись перехопити конфіденційні повідомлення.

У звіті докладно описано, як кілька пов'язаних із Росією груп кібершпигунства зосередилися на зломі облікових записів Signal через функцію програми «пов'язані пристрої». Зловмисники використовують тактику фішингу, щоб змусити користувачів сканувати шкідливі QR-коди, які потайки пов'язують їхні облікові записи Signal з пристроями, контрольованими противником.

Російські зловмисні групи, за якими стежили дослідники Google, були націлені на акаунти, що використовуються особами, які становлять інтерес для російських спецслужб. Не дивно, що багато хто з цілей були українськими, але тактика і методи, що використовуються для атак на Signal, як наголошується, можуть стати більш поширеними в найближчій перспективі та поширитися на інші загрозливі суб'єкти і регіони за межами українського театру воєнних дій.

Серед російських зловмисних груп, детально описаних у звіті, одну групу, яку Google відстежує як UNC5792, але також відому як UAC-0195, було виявлено такою, що модифікує законні посилання запрошень групи Signal для перенаправлення користувачів на підроблені сторінки, які ініціюють несанкціоноване підключення пристроїв. Фішингова інфраструктура групи має ідентичний вигляд з офіційними сторінками запрошень Signal, тому жертвам складно розпізнати обман.

Іншого зловмисного агента, що відстежується як UNC4221 (UAC-0185), було виявлено під час атаки на українських військовослужбовців шляхом маскування шкідливих QR-кодів на фішингових сайтах, що нагадують додатки, які використовуються для наведення артилерії. У деяких випадках зловмисники також вбудовували підроблені попередження про безпеку Signal, щоб заманити жертв і змусити їх під'єднати свої пристрої до контрольованої зловмисниками інфраструктури.

Крім фішингових атак, хакерський підрозділ російської військової розвідки APT44, відоміший як Sandworm, як з'ясувалося, використовує шкідливе ПЗ і скрипти для витоку повідомлень Signal зі зламаних пристроїв під управлінням Windows і Android. Пакетний скрипт WAVESIGN дає змогу зловмисникам періодично отримувати останні повідомлення Signal, а шкідлива програма Infamous Chisel для Android шукає файли бази даних Signal.

Інші пов'язані з Росією угруповання, як-от Turla і пов'язана з Білоруссю UNC1151, як з'ясувалося, використовують настільний застосунок Signal для вилучення збережених повідомлень. Ці суб'єкти використовують сценарії PowerShell і утиліти командного рядка, як-от Robocopy, для копіювання і розміщення даних Signal з метою подальшої ексфільтрації.

«Популярність Signal серед поширених об'єктів стеження і шпигунства, як-от військовослужбовці, політики, журналісти, активісти та інші групи ризику, зробила захищений застосунок для обміну повідомленнями цінною ціллю для супротивників, які прагнуть перехопити конфіденційну інформацію, що може задовольнити цілу низку різних вимог розвідки», - пояснюють дослідники Google. «У ширшому сенсі ця загроза поширюється і на інші популярні додатки для обміну повідомленнями, як-от WhatsApp і Telegram, які також активно атакуються пов'язаними з Росією групами погроз, що використовують аналогічні методи».

Напередодні ширшого застосування подібних методів іншими учасниками загроз, додали вони, «ми випускаємо публічне попередження про тактику і методи, використані на сьогодні, щоб допомогти підвищити поінформованість громадськості та допомогти товариствам краще захистити себе від подібних загроз».

Дослідники радять потенційним жертвам та іншим людям вживати суворих заходів безпеки на своїх особистих пристроях, зокрема вмикати блокування екрана за допомогою довгого складного пароля замість простого PIN-коду, оновлювати операційні системи та додатки для обміну повідомленнями, а також переконатися, що Google Play Protect ввімкнено для виявлення шкідливої активності. Користувачам також слід регулярно перевіряти пов'язані пристрої в налаштуваннях Signal, що допоможе виявити несанкціонований доступ, а обережність під час використання QR-кодів і підозрілих вебпосилань допоможе запобігти спробам фішингу.

Додаткові рекомендації містять включення двофакторної аутентифікації, де це можливо, наприклад, розпізнавання відбитків пальців, ключі безпеки або одноразові коди, щоб додати додатковий рівень безпеки. Дослідники додають, що користувачам iPhone, схильним до високого ризику стеження, також варто подумати про активацію режиму Lockdown Mode, який значно скорочує площу атаки.