Російські хакерські групи, пов’язані з державними структурами, проникли в облікові записи українських військових у месенджері Signal, щоб отримати доступ до конфіденційних комунікацій. Про це йдеться у звіті компанії Google, опублікованому в середу.
Зловмисники використовують функцію “пов’язані пристрої”, яка дозволяє користувачам входити до облікового запису Signal на кількох пристроях одночасно. У деяких випадках хакери змушували українських військових сканувати шкідливі QR-коди, які підключали їхні облікові записи до пристроїв зловмисників, що дозволяло отримувати повідомлення в режимі реального часу.
За даними Google, російські групи UNC4221 та UNC5792 розсилали українським військовим змінені посилання на запрошення в групи Signal та коди доступу.
Попри інциденти, у Google наголошують, що шифрувальний протокол Signal залишається безпечним, а проблема полягає саме у зловживанні функцією “зв’язаних пристроїв”.
Експерти попереджають, що подібні методи можуть почати застосовуватися не лише в Україні, а й в інших регіонах. За словами аналітика Google Cloud’s Mandiant Дена Блека, ці тактики ймовірно поширяться серед інших кібершпигунських угруповань у різних країнах.
Google також зазначає, що месенджери WhatsApp і Telegram мають аналогічні функції зв’язку між пристроями, що робить їх потенційними цілями для подібних атак.
Окремо у звіті згадується, що хакерська група Sandworm (APT44), яка є частиною військової розвідки РФ (ГРУ), співпрацює з російськими військовими на передовій. Вони прив’язують Signal-акаунти до пристроїв, захоплених на полі бою, що дозволяє відстежувати канали комунікації українських військових.