ФБР и CISA предупреждают, что российские хакеры проводят фишинговые атаки на пользователей Signal, выманивая у них резервные ключи восстановления, которые позволяют разблокировать архивы сообщений.
Ключевые моменты:
- Связанные с российской разведкой хакеры охотятся за резервными ключами восстановления Signal, а не только за кодами или PIN.
- Похищенный ключ позволяет злоумышленникам восстановить резервные копии, читать личные и групповые чаты и сохранять доступ, привязанный к тому же номеру.
- В кампании используются социальная инженерия и легитимные функции, а не взлом шифрования Signal.
Хакеры в Signal
Обновлённое предупреждение, опубликованное 26 июня, сообщает, что связанные с российскими спецслужбами злоумышленники выдают себя за автоматизированные аккаунты поддержки и подталкивают жертв к раскрытию ключей восстановления Signal.
В уведомлении названы группы UNC5792 и UNC4221, которых не было в мартовском предупреждении, и их активность увязывается с российскими разведывательными структурами, включая офицеров ФСБ, работающих в составе Погранслужбы ФСБ.
Кампания нацелена на людей, которых ведомства описывают как представляющих «высокую разведывательную ценность»: действующих и бывших американских и иностранных чиновников, военнослужащих, политиков, журналистов и должностных лиц на Украине.
Более ранние версии атак просили жертв отправить коды подтверждения и PIN для аккаунта или использовали поддельные ссылки-приглашения в группы, чтобы привязать устройство злоумышленника к аккаунту.
В новой версии пользователям предлагают включить резервные копии в Signal, открыть экран с ключом восстановления и вставить этот ключ в чат.
Также читайте: Клод Fable 5 может вернуться, пока Вашингтон смягчает противостояние с Anthropic
Предупреждение ФБР
По данным ФБР, одно из примеров сообщений было оформлено как обязательное внедрение двухфакторной аутентификации, а другое утверждало, что для предотвращения потери сообщений требуется срочное восстановление данных.
Если жертва поделится ключом, злоумышленники смогут восстановить резервную копию, прочитать историю личных и групповых сообщений и захватить аккаунт. Ключ может оставаться действительным даже после того, как жертва сменит телефон или создаст новый аккаунт с тем же номером.
Генерация нового ключа в настройках Signal аннулирует старый для будущих скачиваний резервных копий, но не отменяет доступ к уже полученным архивам.
Этот приём не взламывает шифрование Signal и не ломает само приложение. Он работает потому, что жертв убеждают добровольно выдать учётные данные, защищающие их резервные копии.
Программа Госдепартамента США Rewards for Justice предлагает до 10 миллионов долларов за информацию о группе UNC5792.
Google Threat Intelligence Group задокументировала использование UNC5792 функции привязки устройств в Signal в начале 2025 года, ещё до того, как исследователи заметили аналогичные методы против WhatsApp и Telegram.
Читайте далее: PUMP растёт на 12 %, но данные протокола предупреждают: отскок может быть хрупким