Российские хакерские группы, связанные с государственными структурами, проникли в учетные записи украинских военных в мессенджере Signal, чтобы получить доступ к конфиденциальным коммуникациям. Об этом говорится в отчете компании Google, опубликованном в среду.
Злоумышленники используют функцию «связанные устройства», которая позволяет пользователям входить в учетную запись Signal на нескольких устройствах одновременно. В некоторых случаях хакеры заставляли украинских военных сканировать вредоносные QR-коды, которые подключали их учетные записи к устройствам злоумышленников, что позволяло получать сообщения в режиме реального времени.
По данным Google, российские группы UNC4221 и UNC5792 рассылали украинским военным измененные ссылки на приглашения в группы Signal и коды доступа.
Несмотря на инциденты, в Google отмечают, что шифровальный протокол Signal остается безопасным, а проблема заключается именно в злоупотреблении функцией «связанных устройств».
Эксперты предупреждают, что подобные методы могут начать применяться не только в Украине, но и в других регионах. По словам аналитика Google Cloud’s Mandiant Дэна Блэка, эти тактики вероятно распространятся среди других кибершпионских группировок в разных странах.
Google также отмечает, что мессенджеры WhatsApp и Telegram имеют аналогичные функции связи между устройствами, что делает их потенциальными целями для подобных атак.
Отдельно в отчете упоминается, что хакерская группа Sandworm (APT44), которая является частью военной разведки РФ (ГРУ), сотрудничает с российскими военными на передовой. Они привязывают Signal-аккаунты к устройствам, захваченным на поле боя, что позволяет отслеживать каналы коммуникации украинских военных.