Викрадення повідомлень у Signal. ФБР попередило про нову схему російських хакерів

Про це пише видання TNW.

Якщо жертва передасть ключ відновлення резервної копії, зловмисники зможуть читати всю історію повідомлень і зберігатимуть доступ навіть після зміни телефону.

Оновлене попередження повідомляє, що хакери полюють саме на ключі відновлення резервних копій Signal. Достатньо отримати такий ключ один раз, щоб відновити резервну копію акаунта, переглянути всі особисті та групові повідомлення, а також отримати контроль над обліковим записом.

ФБР зазначає, що ключ продовжує діяти навіть після заміни телефону. Якщо користувач створить новий акаунт із тим самим номером телефону, старий ключ усе ще можна буде використати для доступу до майбутніх резервних копій. Усунути проблему можна лише створивши новий ключ у налаштуваннях Signal. Це заблокує використання старого ключа в майбутньому, але не поверне дані, які хакери вже встигли отримати.

У документі також уперше згадуються дві хакерські групи — UNC5792 і UNC4221. ФБР пов’язує їхню діяльність із кількома підрозділами російських спецслужб, зокрема співробітниками ФСБ і військової розвідки Росії. Кампанія спрямована проти користувачів Signal і WhatsApp, однак схема з ключем відновлення стосується лише Signal.

Основними цілями атак є люди, яких американські спецслужби вважають особливо цінними для збору розвідданих. Серед них чинні та колишні урядовці США й інших країн, військові, політики, журналісти та українські посадовці. У березні ФБР повідомляло, що внаслідок ширшої кампанії вже були скомпрометовані тисячі акаунтів по всьому світу.

Шахрайські повідомлення видають себе за службу підтримки Signal. Раніше зловмисники просили користувачів повідомити SMS-коди підтвердження або PIN-коди акаунтів чи надсилали підроблені посилання на запрошення до груп. Нова схема переконує жертву ввімкнути резервне копіювання, відкрити екран із ключем відновлення та надіслати цей ключ у чат.

ФБР опублікувало два приклади таких повідомлень. Одне маскується під обов’язкове ввімкнення двофакторної автентифікації, інше — під термінове відновлення даних через нібито ризик втрати повідомлень. Обидві схеми є прикладами соціальної інженерії, коли зловмисники змушують людину добровільно передати конфіденційну інформацію.

У ФБР і CISA наголошують, що ці атаки не зламують шифрування Signal і не використовують вразливості самого застосунку. Замість цього хакери отримують доступ до акаунтів завдяки обману користувачів і використанню легальних функцій сервісу.

Одночасно Державний департамент США в межах програми Rewards for Justice оголосив винагороду до 10 мільйонів доларів за інформацію про групу UNC5792. Про схожу діяльність раніше також попереджали спецслужби Нідерландів, Німеччини та Франції. Компанія Google ще на початку 2025 року повідомляла, що UNC5792 використовувала функцію прив’язаних пристроїв у Signal, а згодом застосувала аналогічні методи проти WhatsApp і Telegram.

ФБР нагадує, що наскрізне шифрування захищає повідомлення під час передавання, але не може захистити користувача, якщо він сам передасть ключі доступу. Якщо в Signal надходить повідомлення з проханням повідомити ключ відновлення, код підтвердження або PIN-код, його слід вважати шахрайським, незалежно від того, наскільки переконливо воно виглядає. Signal не звертається до користувачів у чатах із проханням надати такі дані.