Російські хакери, пов'язані з Кремлем, розгорнули масштабну операцію, спрямовану на викрадення даних акаунтів у Signal і WhatsApp. Про це пише у Telegram Центр протидії дезінформації РНБО України із посиланням на звіт спецслужб Нідерландів (AIVD та MIVD).
- Російські хакери на державній службі намагаються отримати доступ до великої кількості акаунтів у Signal та WhatsApp високопосадовців, військових та державних службовців. Також нідерландські урядовці стали мішенню й жертвами цієї кампанії. У рамках цієї кампанії можуть постраждати й інші особи, які становлять інтерес для російської влади, наприклад журналісти, - зазначають нідерландські спецслужби MIVD та AIVD.
Характерною особливістю цієї російської кампанії є те, що хакери не використовують технічні вразливості самих додатків. Натомість вони експлуатують легітимні функції безпеки. Щоб отримати доступ до акаунтів у Signal та/або WhatsApp, росіяни намагаються витягнути у користувачів коди підтвердження та PIN-коди.
Найпоширеніший метод російських хакерів - видавати себе за чат-бот підтримки Signal. Таким чином вони намагаються заволодіти кодами жертв, що дозволяє повністю контролювати акаунт. Крім того, хакери використовують функцію linked devices у Signal та WhatsApp для підключення пристроїв, і користувачі часто не підозрюють, що їхній акаунт може бути зчитаний дистанційно. Якщо акаунт успішно зламано, хакери можуть читати всі повідомлення, які надходять на нього, а також мати доступ до чатів груп, в яких бере участь жертва.
Розвідувальні служби вважають, що підвищена увага Росії до Signal пояснюється доброю репутацією додатку. Signal відомий як надійний та незалежний засіб комунікації з можливістю end-to-end шифрування повідомлень. Завдяки цьому його часто використовують урядові установи для захисту внутрішньої комунікації, і саме там потенційні зловмисники сподіваються отримати доступ до конфіденційної інформації.
Фахівці MIVD та AIVD надали інструкції для користувачів Signal, як перевірити, чи були їхні контакти скомпрометовані:
- Кожен користувач Signal може перевірити, чи є підозрілі акаунти у групових чатах. Якщо бачите одного користувача двічі у списку учасників або з трохи зміненим ім’ям, це може свідчити про злом старого акаунту та створення нового жертвою.
- У разі підозри слід повідомити відділ інформаційної безпеки вашої організації. Можна перевірити у власника акаунту (краще через інший канал – електронну пошту або телефон), чи дійсно акаунт дублюється, і при необхідності видалити підозрілі акаунти з групи.
- Звертайте увагу на учасників, яких інші члени групи не впізнають. Зловмисник може змінювати ім’я акаунту, наприклад, на Deleted account, щоб залишатися непоміченим.
У Signal офіційно підтвердили факти атак, наголосивши, що їхня система безпечна, а злом акаунтів відбувається здебільшого через помилки користувачів.
- Центр закликає бути пильними: служба підтримки жодного месенджера не запитуватиме ваш код верифікації чи PIN-код через чат. Регулярно перевіряйте список підключених пристроїв у налаштуваннях додатка. Якщо ви помітили у групах «двійників» контактів або невідомих учасників, негайно повідомте про це адміністратора та змініть налаштування безпеки, - заявили у ЦПД.
- 19 лютого у НБУ повідомили, що російські хакери отримали доступ до бази з 266 999 записами - електронними адресами, телефонами та хешованими паролями користувачів інтернет-магазину нумізматики НБУ. У Нацбанку попереджають, що ці дані можуть використати для фішингових атак. Причиною витоку став злам облікових даних підрядної компанії.
- У червні 2025 року Державна служба спеціального зв’язку та захисту інформації України повідомила, що Росія почала використовувати для кібератак Signal - його вважають найзахищенішим месенджером.