Российские хакеры атакуют аккаунты Signal и WhatsApp чиновников, военных и журналистов
Российские хакеры, связанные с Кремлем, развернули масштабную операцию, направленную на хищение данных аккаунтов в Signal и WhatsApp. Об этом пишет в Telegram Центр противодействия дезинформации СНБО Украины со ссылкой на отчет спецслужб Нидерландов (AIVD и MIVD).
- Российские хакеры на государственной службе пытаются получить доступ к большому количеству аккаунтов в Signal и WhatsApp высокопоставленных должностных лиц, военных и государственных служащих. Также нидерландские чиновники стали мишенью и жертвами этой кампании. В рамках этой кампании могут пострадать и другие лица, представляющие интерес для российских властей, например, журналисты, - отмечают нидерландские спецслужбы.
Характерной особенностью этой российской кампании является то, что хакеры не используют технические уязвимости самих приложений. Вместо этого они эксплуатируют легитимные функции безопасности. Чтобы получить доступ к аккаунтам в Signal и/или WhatsApp, россияне пытаются извлечь у пользователей коды подтверждения и PIN-коды.
Самый распространенный метод российских хакеров – выдавать себя за чат-бот поддержки Signal. Таким образом они пытаются завладеть кодами жертв, что позволяет полностью контролировать аккаунт. Кроме того, хакеры используют функцию "linked devices" в Signal и WhatsApp для подключения устройств, и пользователи часто не подозревают, что их аккаунт может быть считан дистанционно. Если аккаунт успешно взломан, то хакеры могут читать все поступающие на него сообщения, а также иметь доступ к чатам групп, в которых участвует жертва.
Разведывательные службы считают, что повышенное внимание России к Signal объясняется хорошей репутацией приложения. Signal известен как надежное и независимое средство коммуникации с возможностью end-to-end шифрования сообщений. Благодаря этому его часто используют правительственные учреждения для защиты внутренней коммуникации, и именно там потенциальные злоумышленники надеются получить доступ к конфиденциальной информации.
Специалисты MIVD и AIVD предоставили инструкции для пользователей Signal, как проверить, скомпрометированы ли их контакты:
- Каждый пользователь Signal может проверить, есть ли подозрительные аккаунты в групповых чатах. Если вы видите одного пользователя дважды в списке участников или с несколько измененным именем, это может свидетельствовать о взломе старого аккаунта и создании нового жертвой.
- В случае подозрения следует уведомить отдел информационной безопасности вашей организации. Можно проверить у владельца аккаунта (лучше через другой канал – электронную почту или телефон), действительно ли аккаунт дублируется, и при необходимости удалить подозрительные аккаунты из группы.
- Обратите внимание на участников, которых другие члены группы не узнают. Злоумышленник может менять имя аккаунта, например, на "Deleted account", чтобы оставаться незамеченным.
В Signal официально подтвердили факты атак, подчеркнув, что их система безопасна, а взлом аккаунтов происходит в основном из-за ошибок пользователей.
- Центр призывает быть бдительными: служба поддержки ни одного мессенджера не будет запрашивать ваш верификационный код или PIN-код через чат. Регулярно проверяйте список подключенных устройств в настройках приложения. Если вы заметили в группах двойников контактов или неизвестных участников, немедленно сообщите об этом администратору и измените настройки безопасности, - заявили в ЦПД.
- 19 февраля в НБУ сообщили, что российские хакеры получили доступ к базе с 266 999 записями – электронными адресами, телефонами и хешированными паролями пользователей интернет-магазина нумизматики НБУ.
- В июне 2025 года Россия начала использовать для кибератак Signal – его считают самым защищенным мессенджером.
