Розкрито шокуючу спробу російських хакерів захопити акаунти Signal: хто стоїть за атакою?

У світі кібербезпеки випадки зламу можуть трапитися з будь-ким, навіть з експертами. Цього року Дунча О’Кервал, дослідник в галузі безпеки, став мішенню для зловмисників. Отримавши тривожне повідомлення на своєму акаунті в Signal, він зрозумів, що став жертвою намагання хакерів захопити його особисті дані.

У повідомленні йшлося про те, що помічено підозрілу активність на його пристрої, яка могла призвести до витоку даних. Зловмисники запрошували його пройти верифікаційну процедуру, підкреслюючи, що код не можна повідомляти навіть співробітникам Signal. О’Кервал, який очолює лабораторію безпеки Amnesty International, миттєво ідентифікував це як спробу фішингу, проте вирішив використати ситуацію для проведення неочікуваного розслідування.

У коментарі TechCrunch, Дунча згадував, що раніше йому ніколи не траплялися такі атаки. Можливість зібрати докази та дізнатися більше про цю кампанію виявилася надто привабливою, аби її не використати. Як з’ясувалося, напад на нього – це частина більшого кібернападу, що націлений на численну групу користувачів Signal.

Хакери використовували методи, які включали підробку повідомлень від Signal та застереження про фальшиві загрози безпеці. У бібліотечному системному звіті від Cybersecurity & Infrastructure Security Agency (CISA), а також розвідки Великої Британії та Нідерландів, було зазначено, що така активність, ймовірно, пов’язана з російськими шпигунами. Signal сам також попереджав про фішингові атаки на своїх користувачів, в той час як німецький журнал «Der Spiegel» повідомляв про компрометацію високопрофільних осіб у країні.

О’Кервал підтвердив, що став одним з понад 13 500 цілей. Хоча він не розкрив усі деталі свого власного розслідування, щоб не дати підказки зловмисникам, він поділився думками про те, що атака була цілеспрямованою і, вочевидь, пов’язана з іншими злами, які мали на меті певні журналісти та колеги, з якими він працював.

Вивчивши різні елементи атаки, дослідник підозрює, що хакери користувалися автоматизованою системою під назвою «ApocalypseZ», що дозволяє одночасно націлюватися на велику кількість жертв. Ця платформа була розроблена російською мовою, що підтверджує його знання про те, що за атакою стоїть організована група хакерів, пов’язана з російським урядом.

О’Кервал продовжує спостерігати за кампанією, відзначаючи, що атаки, імовірно, тривають, й кількість жертв може бути набагато вищою, ніж та, яку він зафіксував. Він висловив надію, що хакери можуть після цього пошкодувати про спробу зламу його акаунту. Дослідник також радить користувачам Signal активувати функцію «Registration Lock», яка дозволяє встановити PIN-код для свого акаунту, забезпечуючи додатковий рівень захисту від несанкціонованого доступу.