Російські хакери атакують Signal: як зберегти безпеку месенджера? 

Щоб скомпрометувати облікові записи Signal через функцію прив’язки пристроїв, підозрювана російська шпигунська група UNC5792 (частково збігається з UAC-0195, що відстежується CERT-UA) змінила сторінки запрошень у групи Signal та використала їх у фішингових атаках. 

Як працює атака? 

1. Жертва отримує запрошення в групу Signal, яке виглядає цілком легітимно. 
2. Насправді сторінка містить шкідливий редирект, який веде не в групу Signal, а на URL-адресу, що прив’язує її обліковий запис до пристрою UNC5792. 
3. Шкідливий JavaScript-код замінює стандартне перенаправлення в групу Signal на URI-команду прив’язки нового пристрою (sgnl://linkdevice?uuid=). 

Таким чином, жертва не підозрює, що її Signal акаунт вже зламано і зловмисники отримують доступ до всіх її майбутніх повідомлень. 

Окрім цільових атак із прив’язкою додаткових пристроїв до облікових записів жертв у Signal, регіональні хакерські угруповання також використовують різні методи для крадіжки файлів баз даних Signal із пристроїв на Android та Windows. 

APT44 і крадіжка повідомлень Signal через WAVESIGN 

APT44 застосовує WAVESIGN – це легкий Windows Batch-скрипт, який періодично отримує повідомлення з бази даних Signal на Windows-пристрої та передає їх на сервер зловмисників за допомогою утиліти Rclone. 

Infamous Chisel – Android-шпигунське ПЗ Sandworm 

У 2023 році СБУ та Національний центр кібербезпеки Великої Британії (NCSC) повідомили, що шкідливе програмне забезпечення Infamous Chisel, яке пов’язують із хакерською групою Sandworm, було створене для зламу телефонів на Android та викрадення даних із месенджерів, зокрема Signal. 

Turla – крадіжка повідомлень із Signal Desktop через PowerShell 

Хакерська група Turla, яку США та Британія пов’язують із ФСБ РФ, використовувала спеціальний PowerShell-скрипт, щоб збирати повідомлення з Signal Desktop і передавати їх зловмисникам після зараження комп’ютера. 

UNC1151 (Білорусь) та викрадення даних із Signal Desktop через Robocopy 

Білоруське угруповання UNC1151, яке діє в інтересах російських силових структур, використовувало утиліту Robocopy у командному рядку, щоб отримати доступ до файлових директорій Signal Desktop, де зберігаються повідомлення та вкладення. Викрадені дані зберігалися для подальшої передачі зловмисникам. 

Ці методи демонструють, що атаки на Signal не обмежуються лише прив’язкою пристроїв – зловмисники активно розробляють та застосовують шкідливе ПЗ для викрадення конфіденційних повідомлень з інфікованих пристроїв. 

Кібератаки російських хакерських угруповань на Signal та інших месенджерах підкреслює зростаючі загрози для приватної комунікації. Використання комерційного шпигунського ПЗ та мобільного шкідливого коду в умовах геополітичних конфліктів лише посилює необхідність у безпечному та незалежному рішенні для обміну повідомленнями. 

Оскільки атаки спрямовані не лише на Signal, а й на WhatsApp та Telegram, користувачам варто дотримуватися основних заходів кібербезпеки. Однак для бізнесу, державних установ та організацій критично важливо мати гарантовано безпечний канал зв’язку, незалежний від великих технологічних корпорацій.

Threema Work – це повністю зашифрований месенджер, який гарантує безпеку корпоративної комунікації та захищає дані від несанкціонованого доступу. 

Основні переваги Threema Work: 

• Повне наскрізне шифрування, включаючи чати, голосові/відеодзвінки та обмін файлами. 

• Відсутність прив’язки до номера телефону чи email – уникайте збору персональних даних. 

• Сувора відповідність GDPR та Федеральному закону Швейцарії про захист даних. 

• Контроль доступу та адміністрування – можливість конфігурувати політики безпеки для компаній. 

• Окреме професійне та особисте спілкування – мінімізація ризику витоку даних. 

• Автоматизація процесів та інтеграція з корпоративними системами. 

Threema Work – вибір компаній, що дбають про безпеку своїх даних.