Российские хакеры используют функцию «Связанные устройства» Signal, чтобы шпионить за зашифрованными разговорами

Эксперты по кибербезопасности бьют тревогу после того, как была раскрыта скрытая хакерская кампания, проводимая спонсируемыми российским государством злоумышленниками, которые взламывают аккаунты Signal Messenger, чтобы прослушивать частные зашифрованные разговоры в режиме реального времени.

В недавно опубликованном расследовании специалисты по безопасности из Mandiant, подразделения Google, предупреждают, что несколько российских группировок Advanced Persistent Threat (APT) разработали мощный метод взлома функции «связанных устройств» Signal — ключевой возможности, которая позволяет пользователям синхронизировать свое защищенное приложение для обмена сообщениями на нескольких телефонах, планшетах или компьютерах.

Однако это удобство превращается в опасное оружие. Используя связанные устройства, хакеры могут незаметно подключаться к аккаунтам жертв и отслеживать их зашифрованные сообщения, не нарушая сквозное шифрование Signal. После получения доступа каждое сообщение копируется напрямую злоумышленникам — без ведома цели.

Как работает атака: фишинг QR-кодов и захват устройств

Метод хакеров основан на обмане. Жертвы обманом заставляют сканировать вредоносные QR-коды, которые выглядят как законные приглашения в группу Signal или инструкции по сопряжению устройств. После сканирования устройство злоумышленников тайно добавляется в учетную запись Signal жертвы как «связанное устройство».

С этого момента все сообщения — как отправленные, так и полученные — зеркалируются в режиме реального времени в системе злоумышленника. Это обходит надежное шифрование Signal, поскольку злоумышленники теперь являются авторизованными участниками, не взламывая шифрование, а скрытно присоединяясь к разговору.

В отчете Mandiant подчеркивается, что:

• Российские APT-группы, связанные с Кремлем, были замечены в использовании этого метода при фишинговых атаках, нацеленных на военнослужащих, политиков, журналистов и активистов — лиц, которые обычно используют Signal для защищенной связи.
• Эти фишинговые страницы часто имитируют официальный интерфейс Signal или выдают себя за доверенные приложения, такие как украинский военный инструмент наведения артиллерии «Кропивa».
• В ходе боевых действий российские войска были уличены в использовании захваченных устройств для привязки учетных записей Signal к своим серверам для сбора разведывательной информации.

Невидимый доступ: почему этот эксплойт так опасен

Одним из наиболее тревожных аспектов этой атаки является то, насколько тихо она работает. Пользователи Signal обычно не получают никаких заметных оповещений, когда к их аккаунту привязывается новое устройство. Это позволяет хакерам вести долгосрочное наблюдение без обнаружения.

Mandiant описывает эту технику как «форму начального доступа с низкой сигнатурой», то есть она оставляет мало следов. Без активной проверки настроек «Связанных устройств» жертвы могут месяцами — или даже дольше — не знать, что их личные разговоры транслируются враждебным субъектам.

Более широкая цель: WhatsApp и Telegram также под угрозой

Хотя Signal в настоящее время находится в центре внимания, Mandiant подчеркивает, что этот тип атаки на связанное устройство не является уникальным для Signal. Российские хакеры применяют схожую тактику против других широко используемых приложений для обмена сообщениями, включая WhatsApp и Telegram.

Все эти приложения поддерживают синхронизацию нескольких устройств, и для удобства этот процесс часто включает использование QR-кодов, что делает их уязвимыми для фишинга.

Реальный шпионаж: военные и политические цели

Похоже, что основное внимание злоумышленников сосредоточено на сборе разведывательной информации от высокопоставленных лиц и групп, в том числе:

• Украинские военнослужащие
• Европейские политики
• Журналисты-расследователи
• Активисты по правам человека

В ходе одной особенно сложной операции печально известная российская хакерская группа Sandworm использовала эту технику на поле боя. После захвата телефонов вражеских солдат они подключили устройства к своей инфраструктуре, что позволило им шпионить за военными коммуникациями в режиме реального времени.

Признаки того, что вас могут скомпрометировать

Поскольку этот метод атаки разработан так, чтобы быть тихим, самопроверка имеет решающее значение. Вот несколько шагов для обнаружения и предотвращения несанкционированного доступа:

1. Регулярно проверяйте подключенные устройства: откройте приложение Signal, перейдите в Настройки → Подключенные устройства и внимательно осмотрите список. Если вы видите незнакомое устройство, немедленно отсоедините его.

Что пользователям Signal следует делать сейчас

Отчет Mandiant — отрезвляющее напоминание о том, что ни одно приложение не застраховано от эксплуатации, особенно когда оно сталкивается с субъектами национального государства с огромными ресурсами. Сквозное шифрование Signal остается надежным, но эта атака обходит шифрование, эксплуатируя человеческое поведение и удобство синхронизации устройства с приложением.

Если вы работаете в сфере деликатной профессии или живете в регионе с активными угрозами слежки, проверка настроек безопасности Signal должна стать вашей регулярной привычкой.

Эксперты по безопасности подчеркивают, что бдительность имеет решающее значение:

• Пользователи из группы высокого риска (военнослужащие, журналисты, активисты) должны проверять подключенные устройства еженедельно.
• Избегайте сканирования QR-кодов, если вы абсолютно не уверены в их источнике.
• Сообщайте о подозрительных сообщениях или попытках фишинга ИТ-отделу вашей организации или поставщику услуг кибербезопасности.

Новая эра молчаливого наблюдения

Эксплуатация функции Signal «связанные устройства» знаменует собой леденящую душу эволюцию поддерживаемого государством кибершпионажа. В отличие от вредоносных программ, которые оставляют следы или нарушают работу систем, этот метод работает тихо, сливаясь с фоном и перенаправляя конфиденциальные разговоры в российские разведывательные агентства.