Російські урядові хакери націлилися на користувачів Signal і WhatsApp, зокрема на урядовців і військових, а також журналістів у всьому світі, повідомила в понеділок голландська розвідка.
Нідерландська служба оборонної розвідки та безпеки (MIVD) і Генеральна служба розвідки та безпеки (AIVD) опублікували деталі про «масштабну глобальну» хакерську кампанію проти користувачів Signal і WhatsApp. Обидві служби звинуватили «російських державних акторів» у використанні фішингу та методів соціальної інженерії, а не шкідливого програмного забезпечення, для захоплення акаунтів у цих двох месенджерах.
У випадку з Signal хакери видають себе за команду підтримки додатка і надсилають повідомлення безпосередньо цілям із попередженнями про підозрілу активність, «можливий витік даних» або спроби отримати доступ до приватних даних цілі. Якщо ціль попадається на це, хакери просять надати код підтвердження, надісланий SMS-повідомленням (хакери самі запитують цей код у Signal), а також PIN-код цілі.
Згідно з повідомленням, хакери використовують коди підтвердження та PIN-коди для реєстрації нового пристрою з новим номером телефону, видають себе за жертву і, можливо, отримують доступ до її контактів. Крім того, жертва втрачає доступ до свого облікового запису, але може повторно зареєструвати свій номер.
«Оскільки Signal зберігає історію чатів локально на телефоні, жертва може відновити доступ до цієї історії після повторної реєстрації. В результаті жертва може вважати, що все в порядку. Голландські служби хочуть підкреслити, що це припущення може бути неправильним», — йдеться у звіті.
Signal не надає підтримку безпосередньо через додаток. Важливо зазначити, що, як правило, коли користувач додає новий пристрій до свого облікового запису Signal, новий пристрій не має доступу до попередніх повідомлень.
Signal не відповів на запит про коментар, але опублікував у соціальних мережах допис із порадами для користувачів про те, як захистити себе, зокрема, не ділитися SMS-кодом підтвердження та PIN-кодом.
Хакери також намагаються обдурити користувачів обох додатків, змушуючи їх сканувати шкідливі QR-коди або натискати на шкідливі посилання. «Наприклад, зловмисник може надіслати жертві QR-код або посилання, щоб додати її до чат-групи, але цей QR-код або посилання насправді пов’язує пристрій зловмисника з обліковим записом жертви», — пояснюється в звіті.
У випадку з WhatsApp хакери зловживають функцією «Підключені пристрої», яка дозволяє користувачам отримувати доступ до WhatsApp з додаткового пристрою, такого як ноутбук або планшет. Якщо хакерам вдається обдурити своїх жертв, — на відміну від Signal — вони можуть потенційно прочитати минулі повідомлення. Іноді жертва може не усвідомлювати, що надала доступ хакерам, оскільки вона не виходить зі свого облікового запису.
Речник Meta Заде Алсава заявив, що WhatsApp рекомендує користувачам ніколи не ділитися своїм шестизначним кодом з кимось, і вказав на сторінку довідкового центру, яка допоможе користувачам розпізнати підозрілі повідомлення, а також на сторінку про функцію «Підключені пристрої».
Лауренс Бос, речник Міністерства оборони, відмовився надати більш детальну інформацію про кампанію.
Деякі з технік, на які звернули увагу голландські спецслужби в цьому звіті, як відомо, використовуються російськими урядовими хакерами в контексті війни проти України.
