Эксперт по кибербезопасности раскрыл масштабную сеть взлома мессенджера Signal

Глава лаборатории безопасности Amnesty International Донча О’Кирбай (Donncha Ó Cearbhaill) стал целью фишинговой атаки в мессенджере Signal. Исследователь, специализирующийся на поиске шпионского ПО, использовал эту попытку взлома для проведения собственного расследования, которое выявило масштабную кампанию против пользователей приложения.

Механика и масштаб атаки

Атака началась с сообщения от имени службы поддержки Signal. Фейковый чат-бот уведомлял пользователя о якобы замеченной «подозрительной активности», которая могла привести к утечке данных. Для «защиты» аккаунта мошенники требовали прислать код верификации прямо в чат. О’Кирбай сразу определил, что это попытка получить доступ к его учетной записи для привязки её к стороннему устройству.

В ходе анализа эксперт установил, что он стал лишь одним из более чем 13 500 целей данной кампании. В обзоре отмечается, что хакеры используют специализированную систему ApocalypseZ. Этот инструмент автоматизирует процесс взлома, позволяя проводить массовые атаки с минимальным участием оператора. По словам обозревателя, программный код и интерфейс управления этой системы написаны на русском языке, а сообщения жертв автоматически переводились для удобства злоумышленников.

Связь с государственными группировками

Методы, использованные в данной кампании, полностью совпадают с теми, о которых ранее предупреждали спецслужбы США, Великобритании и Нидерландов. Западные эксперты связывают эти атаки с деятельностью правительственных хакерских групп из России. Ранее немецкое издание Der Spiegel сообщало, что подобные инструменты применялись для компрометации политиков и общественных деятелей в Германии.

В ходе расследования О’Кирбай выдвинул «гипотезу снежного кома». Суть её заключается в том, что хакеры взламывают одного пользователя, получают доступ к его списку контактов и группам, а затем используют эту информацию для поиска новых жертв. Исследователь полагает, что попал в поле зрения хакеров именно из-за нахождения в общем чате с кем-то, кто уже был успешно взломан.

Рекомендации по защите аккаунта

Несмотря на то что кампания продолжается и число потенциальных жертв растет, эксперты указывают на эффективные способы защиты. Чтобы обезопасить личную переписку, рекомендуется:

• Активировать функцию «Блокировка регистрации» (Registration Lock) в настройках конфиденциальности — это потребует ввода PIN-кода при попытке войти в аккаунт с нового устройства.
• Никогда не передавать проверочные коды из SMS или системных уведомлений третьим лицам, включая «службы поддержки».
• Использовать уязвимости нулевого дня (ошибки в коде, о которых еще не знает разработчик) хакерам становится сложнее, если пользователи вовремя обновляют приложение и используют двухфакторную аутентификацию.

По данным тестирования, злоумышленники часто эксплуатируют излишнюю доверчивость пользователей, маскируя свои сообщения под официальные системные уведомления. Эксперты подчеркивают, что официальные представители мессенджеров никогда не запрашивают коды подтверждения через чаты.