Хакери російських спецслужб розпочали масштабну фішингову кампанію, націлившись на ключі відновлення резервних копій користувачів месенджера Signal. Це дає їм змогу отримати постійний доступ до історії листування жертв, навіть якщо ті змінять телефон.
Хакери російських спецслужб розпочали масштабну фішингову кампанію, націлившись на ключі відновлення резервних копій користувачів месенджера Signal. Це дає їм змогу отримати постійний доступ до історії листування жертв, навіть якщо ті змінять телефон.
Про це повідомляє The Hacker News із посиланням на офіційне попередження Федерального бюро розслідувань (ФБР) та Агентства з кібербезпеки та безпеки інфраструктури США (CISA).
Спецслужби зазначають, що передача ключа відновлення дає зловмисникам можливість повністю прочитати історію приватних та групових повідомлень, а також фактично заволодіти обліковим записом. Ба більше, якщо користувач створить новий акаунт на той самий номер телефону, старий ключ усе одно дозволить хакерам читати майбутні резервні копії.
Цілями хакерів є особи з «високою розвідувальною цінністю»: діючі та колишні урядовці США й інших країн, військовослужбовці, політики, журналісти, а також посадовці в Україні. Наразі у світі вже скомпрометовано тисячі облікових записів.
Для реалізації атаки росіяни використовують методи соціальної інженерії. Жодних технічних уразливостей у шифруванні Signal чи самій програмі не виявлено. Схема працює так:
Жертва отримує повідомлення, що маскується під офіційну службу підтримки Signal (наприклад, з вимогою увімкнути двофакторну автентифікацію чи терміново «відновити дані»).
Користувача переконують увімкнути резервне копіювання, відкрити екран із ключем відновлення та надіслати цей ключ у чат.
У попередніх хвилях атак хакери також виманювали SMS-коди підтвердження, PIN-коди або надсилали фейкові «запрошення до групи», які непомітно прив’язували пристрій зловмисника до акаунта жертви.
Атаки пов’язують із російськими спецслужбами, зокрема з офіцерами фсб та групами, підпорядкованими збройним силам рф. У кіберпросторі вони відстежуються під ідентифікаторами UNC5792 та UNC4221. Окрім Signal, аналогічні методи фішингу хакери застосовують у WhatsApp і Telegram.
Державний департамент США в межах програми «Нагорода за справедливість» (Rewards for Justice) уже оголосив про винагороду до $10 млн за інформацію про діяльність угруповання UNC5792.
Єдиний спосіб убезпечити себе, якщо користувач вже передав дані, — згенерувати новий ключ у налаштуваннях Signal. Це анулює старий ключ для майбутніх завантажень, проте не поверне вже викрадену інформацію.
Фахівці наголошують: наскрізне шифрування безсиле, якщо користувач власноруч віддає ключі доступу. Представники Signal підкреслюють, що месенджер ніколи не надсилає повідомлень усередині додатка з проханням надати будь-які облікові дані, PIN-коди чи ключі відновлення.
Нагадаємо, що у 2025 році російське хакерське угруповання Gamaredon провело 35 окремих кампаній цільового фішингу проти України, причому більшість атак припала на другу половину року. Головними мішенями зловмисників стали українські державні та військові установи.
