Російські хакери використовують функцію «Зв’язаних пристроїв» Signal, щоб стежити за зашифрованими розмовами

Експерти з кібербезпеки б’ють тривогу після того, як розкрили приховану хакерську кампанію зловмисників, спонсорованих державою, які захоплюють облікові записи Signal Messenger, щоб прослуховувати приватні зашифровані розмови в режимі реального часу.

У нещодавно оприлюдненому розслідуванні дослідники безпеки з Mandiant, підрозділу Google, попереджають, що кілька російських груп Advanced Persistent Threa (APT) розробили потужний метод компрометації функції «пов’язаних пристроїв» Signal — ключової можливості, яка дозволяє користувачам синхронізувати свою захищену програму обміну повідомленнями на кількох телефонах, планшетах або комп’ютерах.

Однак цю зручність перетворюють на небезпечну зброю. Використовуючи підключені пристрої, хакери можуть непомітно проникати в облікові записи жертв і контролювати їхні зашифровані повідомлення, не порушуючи наскрізне шифрування Signal. Щойно доступ отримано, кожне повідомлення копіюється безпосередньо зловмисникам, а ціль ніколи не дізнається.

Як працює атака: фішинг QR-коду та викрадення пристрою

Метод хакерів заснований на обмані. Жертв обманом змушують сканувати зловмисні QR-коди, які виглядають як законні запрошення до групи Signal або інструкції з підключення пристрою. Після сканування пристрій зловмисника таємно додається до облікового запису жертви в Signal як «зв’язаний пристрій».

З цього моменту всі повідомлення — як надіслані, так і отримані — відображаються в системі зловмисника в режимі реального часу. Це обходить надійне шифрування Signal, оскільки зловмисники тепер є авторизованими учасниками, не порушуючи шифрування, а непомітно приєднуючись до розмови.

У звіті Mandiant підкреслюється, що:

• Російські групи APT, пов’язані з Кремлем, використовували цей метод у фішингових атаках, націлених на військовослужбовців, політиків, журналістів та активістів — осіб, які зазвичай покладаються на Signal для безпечного зв’язку.
• Ці фішингові сторінки часто імітують офіційний інтерфейс Signal або видають себе за надійні програми, як-от український військовий інструмент наведення артилерії Кропива.
• У сценаріях на полі бою російські війська були спіймані на використанні захоплених пристроїв, щоб зв’язати облікові записи Signal зі своїми серверами для збору розвідданих.

Невидимий доступ: чому цей експлойт такий небезпечний

Одним із найбільш тривожних аспектів цієї атаки є те, наскільки тихо вона працює. Користувачі Signal зазвичай не отримують жодних помітних сповіщень, коли новий пристрій прив’язано до їх облікового запису. Це дозволяє хакерам вести тривале спостереження без виявлення.

Mandiant описує цю техніку як «форму початкового доступу з низьким рівнем підпису», тобто вона залишає мало слідів. Без активної перевірки налаштувань «Пов’язаних пристроїв» жертви можуть місяцями або навіть довше не знати, що їхні приватні розмови транслюються ворожим особам.

Широка ціль: WhatsApp і Telegram теж під загрозою

Незважаючи на те, що зараз у центрі уваги знаходиться Signal, Mandiant підкреслює, що цей тип атаки на зв’язані пристрої не є унікальним для Signal. Російські хакери застосовують подібну тактику проти інших широко використовуваних програм обміну повідомленнями, включаючи WhatsApp і Telegram.

Усі ці додатки дозволяють синхронізуватися з кількома пристроями, і цей процес часто передбачає використання QR-кодів для зручності, що робить їх придатними для зловживань через фішинг.

Шпигунство в реальному світі: військові та політичні цілі

Схоже, зловмисники зосереджуються на зборі розвідувальних даних від важливих осіб і груп, зокрема:

• Українські військовослужбовці
• європейські політики
• Журналісти-розслідувачі
• Правозахисники

В одній особливо складній операції відома російська хакерська група Sandworm використовувала цю техніку на полі бою. Після захоплення телефонів ворожих солдатів вони підключили пристрої до своєї інфраструктури, дозволяючи їм стежити за військовими комунікаціями в режимі реального часу.

Ознаки того, що вас можуть скомпрометувати

Оскільки цей метод атаки розроблений як тихий, самоперевірка має вирішальне значення. Нижче наведено кілька кроків для виявлення та запобігання неавторизованому доступу.

1. Регулярно перевіряйте пов’язані пристрої: відкрийте програму Signal, перейдіть у «Налаштування» → «Пов’язані пристрої» та уважно перегляньте список. Якщо ви бачите незнайомий пристрій, негайно від’єднайте його.

Що зараз мають зробити користувачі Signal

Доповідь Mandiant є протверезним нагадуванням про те, що жоден додаток не застрахований від експлуатації, особливо коли стикаються з національними державними акторами з величезними ресурсами. Наскрізне шифрування Signal залишається надійним, але ця атака обходить шифрування, використовуючи поведінку людини та зручність синхронізації пристрою з додатком.

Якщо ви працюєте в делікатній професії або живете в регіоні з активними загрозами стеження, перевірка налаштувань безпеки Signal має стати звичайною звичкою.

Експерти з безпеки підкреслюють, що пильність є ключовою:

• Користувачі з групи високого ризику (військовослужбовці, журналісти, активісти) повинні щотижня перевіряти підключені пристрої.
• Уникайте сканування QR-кодів, якщо не впевнені в їхньому джерелі.
• Повідомляйте про підозрілі повідомлення або спроби фішингу ІТ-команді вашої організації або постачальнику кібербезпеки.

Нова ера тихого спостереження

Використання функції «підключених пристроїв» Signal знаменує жахливу еволюцію підтримуваного державою кібершпигунства. На відміну від зловмисного програмного забезпечення, яке залишає сліди або порушує роботу систем, цей метод працює тихо, змішуючись із фоном, водночас направляючи конфіденційні розмови з російськими спецслужбами.