Как российские хакеры обходят Signal: новый трюк с резервными ключами

В последние месяцы кибербезопасность стала одной из главных угроз для государственных служащих, журналистов и военных по всему миру. ФБР и Агентство по кибербезопасности и защите инфраструктуры США (CISA) обновили своё предупреждение о кампании российских хакерских групп, которые атакуют пользователей Signal. Новый метод кражи данных заключается в том, что злоумышленники убеждают жертв выдать резервный ключ восстановления аккаунта. После этого они получают доступ к личным и групповым чатам, а также могут полностью завладеть аккаунтом. Более того, украденный ключ остаётся действующим даже после смены номера телефона, что делает атаку особенно опасной.

Эксперты подчёркивают, что в основе атаки лежит социальная инженерия, а не взлом шифрования Signal. Злоумышленники маскируются под службу поддержки Signal и предлагают пользователям «обновить» настройки безопасности или «восстановить» данные. Однако на самом деле они крадут резервный ключ, который позволяет получить полный доступ к аккаунту. В марте ФБР уже сообщало о масштабной кампании, в ходе которой были скомпрометированы тысячи аккаунтов по всему миру. Теперь тактика усложнилась, и атакующие используют новый вектор для проникновения в личные данные.

Как работает новый метод атаки на Signal

Согласно обновлённому предупреждению, хакеры придумали новый способ обмана пользователей. Они отправляют жертвам сообщения, которые имитируют уведомления от службы поддержки Signal. В этих сообщениях пользователей просят включить резервное копирование чатов и предоставить резервный ключ восстановления. После того как ключ попадает в руки злоумышленников, они могут восстановить резервную копию аккаунта на своём устройстве и получить доступ ко всей переписке, включая личные и групповые чаты.

Особенность атаки заключается в том, что резервный ключ не теряет своей силы даже после смены номера телефона. Это означает, что даже если пользователь создаст новый аккаунт на том же номере, злоумышленники смогут использовать украденный ключ для восстановления предыдущих резервных копий. Таким образом, атака становится долговременной и может привести к постоянной компрометации аккаунта. ФБР и CISA подчёркивают, что ни один из этих методов не нарушает защиту Signal, так как взлом происходит через социальную инженерию, а не через уязвимости в приложении.

Кого атакуют и почему это важно

Целевой аудиторией кампании являются высокопоставленные лица, представляющие наибольшую разведывательную ценность. В список потенциальных жертв входят действующие и бывшие государственные чиновники США и других стран, военные, политики, журналисты, а также украинские официальные лица. Ранее ФБР сообщало, что в марте кампания уже привела к компрометации тысяч аккаунтов по всему миру. Теперь, с добавлением нового метода кражи резервных ключей, угроза стала ещё более серьёзной.

Атаки связывают с несколькими группами российских спецслужб, включая офицеров ФСБ, работающих в пограничных войсках, а также сотрудников военных структур. Новые тактические приёмы были добавлены к уже существующим методам, которые включали кражу кодов SMS-подтверждения, PIN-кодов аккаунтов и использование поддельных ссылок на групповые приглашения. Обновлённое предупреждение также вводит новые обозначения для хакерских групп: UNC5792 и UNC4221. Государственный департамент США даже объявил награду в размере до 10 миллионов долларов за информацию, которая поможет выявить группу UNC5792.

Предыдущие методы атак и их эволюция

В марте ФБР уже предупреждало о кампании, в ходе которой российские хакеры использовали фишинговые сообщения для кражи данных. Тогда атакующие прибегали к различным уловкам: от запроса кодов SMS-подтверждения до использования поддельных ссылок на групповые чаты. Эти методы позволяли злоумышленникам получить доступ к аккаунтам и читать переписку жертв. Однако новый метод с использованием резервных ключей восстановления стал более изощрённым и опасным.

Теперь хакеры не только получают доступ к текущим сообщениям, но и могут восстановить всю историю переписки из резервных копий. Это означает, что жертвы теряют не только новые данные, но и архивы, которые могли храниться годами. Более того, украденный ключ остаётся действующим, что позволяет злоумышленникам продолжать атаку даже после смены номера телефона или создания нового аккаунта. Таким образом, атака становится долговременной и может привести к постоянной утечке данных.

Как защитить свой аккаунт в Signal

Эксперты рекомендуют несколько мер предосторожности, чтобы избежать компрометации аккаунта. Во-первых, никогда не делитесь резервным ключом восстановления с кем-либо, даже если сообщение выглядит как официальное уведомление от службы поддержки. Signal никогда не будет запрашивать этот ключ, так как он предназначен исключительно для личного использования. Во-вторых, регулярно проверяйте настройки безопасности и отключайте резервное копирование, если оно не требуется.

Если вы подозреваете, что ваш аккаунт был скомпрометирован, немедленно сгенерируйте новый резервный ключ в настройках Signal. Это действие автоматически отключит возможность восстановления аккаунта с использованием старого ключа. Однако имейте в виду, что если злоумышленники уже получили доступ к вашим данным, они могут использовать их в дальнейшем. Поэтому важно действовать быстро и уведомить соответствующие органы о возможной утечке информации.

Почему Signal не виноват в атаках

Важно понимать, что Signal не имеет отношения к этим атакам. Приложение использует надёжное сквозное шифрование, и ни один из методов взлома не нарушает его защиту. Атаки происходят исключительно через социальную инженерию, когда пользователи добровольно передают злоумышленникам конфиденциальную информацию. Signal лишь предоставляет легитимный инструмент резервного копирования, который злоумышленники используют в своих целях.

Разработчики Signal регулярно обновляют приложение и добавляют новые функции безопасности, чтобы защитить пользователей от подобных атак. Однако полностью исключить риск социальной инженерии невозможно, так как она основана на человеческом факторе. Поэтому пользователи должны быть бдительны и не доверять подозрительным сообщениям, даже если они выглядят как официальные уведомления.

Глобальный контекст: кто ещё предупреждал об угрозе

Российские хакерские кампании против Signal и других мессенджеров стали объектом внимания не только в США. Ранее аналогичные предупреждения публиковали спецслужбы Нидерландов (AIVD и MIVD), Германии (BfV и BSI), а также Франции (ANSSI). Эти организации также отмечали рост активности групп, связанных с российскими спецслужбами, и призывали пользователей быть бдительными.

Компания Google также задокументировала деятельность группы UNC5792 и её тактики. Эксперты подчёркивают, что такие атаки не ограничиваются Signal: злоумышленники могут использовать подобные методы и в других мессенджерах. Поэтому пользователям важно быть внимательными не только при работе с Signal, но и с другими приложениями, которые могут стать целью хакеров.

Что делать, если вы стали жертвой атаки

Если вы подозреваете, что ваш аккаунт в Signal был скомпрометирован, немедленно выполните несколько шагов. Во-первых, сгенерируйте новый резервный ключ в настройках приложения. Это действие отключит возможность восстановления аккаунта с использованием старого ключа. Во-вторых, уведомьте своих контактов о возможной утечке данных и предупредите их о подозрительных сообщениях.

Также рекомендуется обратиться в соответствующие органы, такие как ФБР или местные правоохранительные структуры, чтобы сообщить о инциденте. Если вы являетесь государственным служащим или журналистом, уведомите свою организацию о возможной утечке данных. Это поможет предотвратить дальнейшие атаки и защитить других пользователей.

Выводы: как оставаться в безопасности в эпоху киберугроз

Новый метод атак на Signal через резервные ключи восстановления показывает, как хакеры адаптируются к изменениям в технологиях и методах защиты. Социальная инженерия остаётся одним из самых эффективных инструментов для киберпреступников, и пользователи должны быть готовы к таким угрозам. Signal, как и другие мессенджеры, предоставляет мощные инструменты безопасности, но их эффективность зависит от того, насколько внимательно пользователи относятся к своим данным.

Чтобы минимизировать риски, следуйте простым правилам: никогда не делитесь резервными ключами, регулярно проверяйте настройки безопасности и будьте бдительны при получении подозрительных сообщений. Также следите за обновлениями от правоохранительных органов и спецслужб, которые публикуют информацию о новых угрозах. Только так можно оставаться на шаг впереди киберпреступников и защитить свои данные от утечек.