Aa Aa Aa

Хакери намагаються викрасти резервні копії користувачів Signal

Дмитро Сизов

Аналітик Washington Post Джош Рогін опублікував скріншот нового виду атаки на користувачів Signal, коли хакери видають себе за службу підтримки застосунку та попереджають ціль, що резервні копії їхніх чатів та медіа «під загрозою постійної втрати через проблеми синхронізації». Щоб уникнути цього, йдеться в повідомленні, ціль повинна поділитися з хакерами ключем відновлення, який використовується для доступу до їхніх онлайн-резервних копій у чаті.

«Це пов’язує вашу існуючу резервну копію з вашим обліковим записом. Якщо цього не зробити, ви можете втратити доступ до свого облікового запису та всіх збережених даних», – йдеться в повідомленні, яке нібито надійшло від облікового запису під назвою Signal Support.

Рогін сказав, що кілька активістів, які виступають проти комуністичної партії Китаю, отримали це зловмисне повідомлення. 

Мохаммед Аль-Маскаті, директор служби допомоги з питань цифрової безпеки Access Now , яка розслідує кібератаки на журналістів, дисидентів та правозахисників, розповів TechCrunch, що двоє людей поділилися з ним схожими повідомленнями. Аль-Маскаті сказав, що ці двоє не є китайськими активістами. Це говорить про те, що хакерська кампанія може бути більш поширеною та спрямованою на інші спільноти, або ж можуть існувати різні групи хакерів, які використовують ту саму стратегію.

Незрозуміло, наскільки ефективною була хакерська кампанія. Аль-Маскаті сказав, що крадіжка ключів відновлення жертви для резервних копій їхніх чатів – це лише один крок в атаці, і що хакерам все одно потрібно захопити обліковий запис жертви. 

Загалом, цей тип атаки спирається на фішингові атаки, тобто обманним шляхом змушує цільові особи поділитися важливою та конфіденційною інформацією з хакерами. У цьому конкретному випадку хакери видають себе за команду підтримки Signal, щоб скористатися довірою цілі до програми та організації, яка стоїть за нею.

Важливо зазначити, що Signal заявляє , що «ніколи не зв’язуватиметься» з користувачами спочатку та ніколи не запитуватиме їхній реєстраційний код, PIN-код чи ключ відновлення. Це означає, що будь-який чат, який видає себе за «службу підтримки Signal», насправді надходить від зловмисних хакерів. Організація публічно попередила про саме цей тип атаки минулого місяця. 

Хоча в останні місяці було кілька кампаній хакерів , які видають себе за службу підтримки Signal, це новий тип атаки, оскільки він спеціально спрямований на резервні копії, які можуть містити старі чати, фотографії та документи жертви.  

Попередні хакерські кампанії, спрямовані проти користувачів Signal, намагалися викрасти обліковий запис жертви, а потім видати себе за неї, часто з потенційною метою крадіжки контактів жертви або початку розмов з іншими людьми, ніби вони є власником облікового запису. У цих випадках хакери не отримують доступу до попередніх повідомлень, оскільки атаки покладаються на перереєстрацію облікового запису жертви на пристрої, яким вони керують. Через особливості розробки Signal старіші повідомлення не відображаються на новому пристрої. 

Хакери можуть захопити облікові записи Signal, наприклад, викравши чийсь номер телефону. Але Signal пропонує функції безпеки, що потребують попередньої реєстрації, для захисту від цього, такі як блокування реєстрації , яке не дозволяє зловмисникам пов’язати номер цілі з новим пристроєм, якщо вони не вкрадуть PIN-код цілі. 

У такому випадку одним із способів переглянути старіші повідомлення було б отримати доступ до онлайн-резервної копії жертви, для чого потрібен ключ відновлення.

Минулого року Signal запустив Secure Backups (Безпечне резервне копіювання ) – нову функцію, яка дозволяє користувачам завантажувати вміст своїх облікових записів на сервери Signal, зашифрований ключем відновлення, який, за словами організації, «ніколи не передається серверам Signal» і «ніколи не залишає» пристрій користувачів. Signal радить користувачам зберігати ключ відновлення безпечно на ноутбуці або в менеджері паролів. 

«Без вашого унікального ключа відновлення ніхто (включно з Signal) не зможе прочитати, розшифрувати або відновити будь-які дані у вашому захищеному архіві резервних копій», – заявили в Signal.

Це означає, що лише користувач може отримати доступ до свого архіву у випадку, якщо він зареєструє свій обліковий запис на новому телефоні, завантажить зашифровану резервну копію із серверів Signal, а потім розшифрує її за допомогою ключа відновлення.