Российские хакеры нашли уязвимость Signal и охотятся на учетные записи украинских военных

Логотип Signal с QR-кодом. Источник: thehackernews.com

Стало известно, что российские хакеры стали активно использовать функцию связанных устройств, чтобы получить доступ к переписке посторонних людей. Особое внимание они уделяют переписке украинских военных. Специалисты по безопасности предупреждают, что эту технологию можно использовать и для атаки на другие мессенджеры.

Связанные устройства - это возможность общаться от имени одного аккаунта с разных устройств (например, телефона и планшета или компьютера). Хакеры пытаются добавить к чужим аккаунтам собственные устройства. Для атаки сейчас используются два приема.

• Физическое завладение устройством - телефоны, которые имеют доступ к группам украинских военных, захватываются в зоне боевых действий, после чего к аккаунту привязывается устройство хакера.
• Добавление вражеского устройства через QR-код. В целом используется куча различных тактик социальной инженерии или использования ссылок на фишинговые сайты, имитирующие официальные ресурсы Signal, чтобы без ведома пользователя добавить устройство хакера к аккаунту жертвы. Этот тип атаки более массовый.

Специалисты из Google Threat Intelligence Group (GTIG) обнаружили целую сеть поддельных сайтов, имитирующих сервисные страницы Sygnal с хакерскими QR-кодами и вредоносным JavaScript кодом. Хакерские группы APT44 (Sandworm), UNC5792 и UNC4221 создают сайты, имитирующие официальные ресурсы Signal или приложения, которые используют украинские военные. Например, группа хакеров UNC4221 создает страницы, имитирующие специфические сервисы программы Kropyva, которую украинские военные используют для наведения артиллерии. Такие страницы выглядят легитимно, но содержат код, который взламывает аккаунты. Кроме QR-кодов на фишинговых страницах может использоваться JavaScript-код под названием PINPOINT, с помощью которого хакер получает геолокацию жертвы и другую персональную информацию.

Сейчас Signal уже выпустил обновления приложений для Android и iOS, которые должны помешать использованию этой уязвимости.

Специалисты по кибербезопасности Google рекомендуют:

• Всегда обновлять Signal до актуальной версии
• Регулярно проверять список подключенных устройств
• Не сканировать QR-коды из непроверенных источников
• Включить аутентификацию и получать уведомления о новых подключениях

Signal это открытый мессенджер, использующий сквозное шифрование при отправке сообщений, а следовательно имеет надежную защиту от перехвата сообщений. Из-за этого его стали активно использовать военные, журналисты, политики и другие носители чувствительной информации.

QR-код - это двумерное монохромное изображение, в котором может быть закодировано несколько строк текста. Этот стандарт обмена информацией не предусматривает возможности определить содержание информации без использования декодирующего устройства, поэтому злоумышленники иногда практикуют распространение QR-кодов со ссылкой на скомпрометированные ресурсы. Так как именно с помощью QR-кодов проходит аутентификация в большинстве популярных мессенджеров, включая Telegram и Viber.