Американские власти объявили о вознаграждении до $10 млн за сведения о российской кибергруппе, которая взломала тысячи аккаунтов мессенджеров Signal и WhatsApp, используемых журналистами и госслужащими.
Федеральные власти США готовы выплатить до $10 млн за информацию, которая поможет найти российскую государственную кибергруппу. Эта группа предположительно скомпрометировала тысячи аккаунтов Signal и WhatsApp, принадлежащих журналистам-расследователям и сотрудникам правительства США.
Операция ведется как минимум с марта. Тогда ФБР предупреждало о фишинговых кампаниях, нацеленных на лиц, представляющих разведывательный интерес, со стороны атакующих, связанных с российскими спецслужбами. Сообщения, маскирующиеся под уведомления поддержки, побуждают пользователей переходить по ссылкам или предоставлять коды верификации и пароли.
После получения этих данных злоумышленники могут подключить свое устройство к аккаунту пользователя или полностью захватить контроль. Тысячи аккаунтов уже скомпрометированы. Встроенная функция безопасности Signal предотвращает чтение предыдущих переписок, но злоумышленники могут просматривать новые сообщения.
Недавно кампания эволюционировала. Атакующие начали отправлять сообщения с призывом создать резервную копию всех предыдущих сообщений. Затем пользователям предлагается отправить длинный ключ шифрования резервной копии. Получив этот ключ, злоумышленники получают доступ к истории переписки.
За этими атаками стоят две российские группы, отслеживаемые под кодами UNC5792 и UNC4221. Одна из схем включала изменение страниц приглашения в группы Signal для перенаправления пользователей на вредоносный URL, связывающий устройство, контролируемое UNC5792, с аккаунтом жертвы.
Государственный департамент США объявил о предложении вознаграждения в рамках программы "Reward for Justice" (RFJ). RFJ ищет информацию о UNC5792, кибергруппе, связанной с пограничной службой ФСБ России, и UNC4221, группе киберагентов, действующих от имени российских военных служб.
Эти действия не эксплуатируют уязвимости в шифровании платформ, но привели к компрометации тысяч аккаунтов мессенджеров. Фишинг остается одним из наиболее эффективных методов получения доступа к аккаунтам, так как для успеха достаточно одного неосторожного действия пользователя.
ФБР рекомендует пользователям, которые могли предоставить ключ резервного копирования, сгенерировать новый ключ восстановления в настройках приложения. Это действие аннулирует предыдущий ключ для всех будущих загрузок резервных копий, но не предотвратит уже скачанные злоумышленниками копии.
