Российские хакеры атакуют пользователей Signal: поддельные QR-коды и инструкции для кражи данных

Российские хакеры атакуют пользователей Signal: поддельные QR-коды и инструкции для кражи данных

Российские хакеры пытаются обманными способами украсть данные через мессенджер Signal, известный высоким уровнем безопасности. Об этом говорится в отчете-расследовании менеджера по анализу кибершпионажа в Google Cloud’s Mandiant Дэна Блека, опубликованном 20 февраля от имени Google Threat Intelligence Group (GTIG) — команды Google, занимающейся анализом угроз кибербезопасности.

Сообщается, что атаки нацелены на лиц, которые "представляют интерес для российских спецслужб". В GTIG ожидают, что тактика и методы, которые сейчас используют хакеры против Signal, в будущем станут более распространенными, в том числе за пределами "украинского театра войны".

Signal — популярный среди военнослужащих, политиков, журналистов, активистов и других групп риска, что делает программу ценной целью для киберпреступников. Чтобы завладеть конфиденциальной информацией, они прибегают к уловкам.

Вредоносные QR-коды

Наиболее новая и широко распространенная техника — злоупотребление функцией "связанных устройств", которая позволяет использовать мессенджер, например, с телефона и планшета одновременно. Чтобы подключить дополнительное устройство, нужно просканировать специальный QR-код.

Хакеры создают вредоносные QR-коды, просканировав которые, пользователи соединяют свою учетную запись с устройством злоумышленника. В результате ему в реальном времени приходят все сообщения, обеспечивая постоянное средство прослушивания.

Часто вредоносные QR-коды маскировались под настоящие ресурсы Signal, такие как приглашения в группы, уведомления системы безопасности или инструкции по подключению устройств. В более специализированных операциях хакеры создавали фальшивые вебстраницы, которые маскировали под программы для военных, и туда уже встраивали QR-коды.

Хакер APT44 (также известный как Sandworm или Seashell Blizzard, его связывают с Главным центром специальных технологий ГРУ РФ) работал над тем, чтобы использовать украденные данные захваченные у воинов на фронте устройства. То есть условно оккупанты находят смартфон украинского военнослужащего, Signal на нем привязывают к контролируемому серверу. Кроме того, что киберпреступник видит чужие сообщения, даже если сам телефон будет у него уже не на руках, он может выдавать себя за владельца.

Отмечается, что если удается благодаря связыванию устройств получить доступ к данным, доступ может оставаться длительное время. Это объясняется отсутствием средств защиты для соответствующего мониторинга, так что "лишнее" устройство может долго быть незамеченным.

Фальшивые приглашения в группы

Российская шпионская группа UNC5792 изменила страницы "групповых приглашений". Хакеры использовали модифицированные "приглашения" в группы Signal, разработанные таким образом, чтобы они выглядели идентично настоящим.

Однако в поддельных групповых приглашениях код JavaScript, который обычно направляет пользователя в группу, заменяли вредоносным блоком. Он содержал унифицированный идентификатор ресурса (URI), который используется программой для соединения с новым устройством. То есть жертвы таких атак думали, что присоединяются к группам в Signal, а на самом деле предоставляли полный доступ к своим аккаунтам хакерам.

Имитация программы "Крапива"

Еще одна хакерская группа, связанная с Россией — UNC4221. Ее усилия были сосредоточены на украинских военнослужащих. Хакеры разработали фальшивую версию компонентов программы "Крапива", которую ВСУ используют для наведения артиллерии. Цель — также похищение данных с Signal. Кроме того, хакеры пытались замаскировать связывание устройств под приглашение в группу от доверенного контакта.

Были зафиксированы различные вариации таких фишинговых атак:

• через фальшивые вебсайты, которые выглядели как законные инструкции по связыванию устройств;
• через вредоносные QR-коды, встроенные непосредственно в поддельную "Крапиву".

Киберпреступники использовали специальный код PINPOINT, который позволял собирать основную информацию пользователя и данные его геолокации с помощью API GeoLocation.

Более широкие попытки похищения данных

Также хакеры работали над тем, чтобы похищать файлы базы данных Signal. Атаки были нацелены на устройства Android и Windows.

APT44 работал с инструментом WAVESIGN, который регулярно отправляет запросы в базу данных. Одновременно с помощью Rclone выгружались ответы с наиболее новыми сообщениями в системе. Вредоносное ПО Infamous Chisel, также вероятно созданное Sandworm, искало на Android-устройствах файлы, связанные с Signal, для похищения.

Хакер Turla, которого США и Великобритания приписывают Центру 16 ФСБ, использовал специальный скрипт PowerShell, чтобы после заражения компьютера получать сообщения с Signal Desktop. UNC1151, связанный с Белоруссией, использовал утилиту Robocopy, чтобы копировать файлы с Signal Desktop для последующего похищения.

Как себя обезопасить

В Google дали советы, как защитить свои личные устройства от возможных хакерских атак:

• включить блокировку экрана на всех устройствах и выбрать сложный пароль (большие и малые буквы, цифры и символы);
• как можно быстрее обновлять операционные системы и всегда использовать последнюю версию Signal;
• убедиться, что включена функция Google Play Protect, которая проверяет приложения и устройства на вредоносное поведение;
• регулярно проверять связанные устройства в настройках;
• осторожно взаимодействовать с QR-кодами и веб-ресурсами, которые выглядят как обновления ПО, приглашения в группы или другие уведомления, побуждающие к немедленным действиям;
• использовать по возможности двухфакторную аутентификацию, в том числе через отпечаток пальца, распознавание лица, ключ безопасности или одноразовый код.

Пользователям iPhone отдельно порекомендовали рассмотреть возможность включить режим блокировки.

"Мы благодарны команде Signal за тесное сотрудничество в расследовании этой деятельности. Последние версии Signal для Android и iOS содержат усиленные функции, предназначенные для защиты от подобных фишинговых кампаний в будущем. Обновите до последней версии, чтобы включить эти функции", — отметили в GTIG.