Специалист по расследованию шпионских атак Доннча О’Кервайлл сам стал целью фишинговой кампании среди пользователей Signal. Ему прислали сообщение от имени якобы службы безопасности мессенджера с предложением пройти «верификацию» и ввести проверочный код. Исследователь сразу понял попытку захвата аккаунта, но вместо удаления сообщения решил изучить кампанию изнутри.
Случай оказался не единичной атакой на одного эксперта. Доннча О’Кервайлл, возглавляющий лабораторию безопасности Amnesty International, выяснил возможный охват кампании более 13 500 пользователей Signal. По его данным, хакеры применяли русскоязычный интерфейс, переводили переписки жертв на русский язык и использовали систему ApocalypseZ для автоматизации атак в большом масштабе.

Интересно, что фишинговая кампания против пользователей Signal попала прямо в руки одного из главных мировых экспертов по spyware, и теперь её разбирают по косточкам.

Схема начиналась с убедительно оформленного сообщения. Пользователю писали о работе чат-бота службы безопасности Signal и якобы подозрительной активности на устройстве. Дальнейший разговор строился по типичному фишинговому сценарию:

мошенники сообщали о попытках доступа к личной информации;
предлагали пройти проверку для защиты аккаунта;
требовали ввести код в чат поддержки Signal Security;
торопили жертву через создание чувства срочности;
ссылались на угрозу утечки данных пользователя.

Ирония кампании кроется в самом фишинговом сообщении с предупреждением никому не передавать код, даже сотрудникам Signal. Подобный код и был нужен атакующим. При вводе жертвой кода в поддельный чат хакеры связывали её аккаунт Signal с устройством под своим контролем.
Для обычного пользователя схема выглядит правдоподобно с упоминанием безопасности, страхом утечки и имитацией официальной поддержки. Доннча О’Кервайлл занимается расследованием spyware-атак и быстро понял социальную инженерию.
Исследователь рассказал TechCrunch об отсутствии в его опыте сознательного попадания под фишинговую атаку такого типа. Ситуация дала ему редкую возможность оказаться внутри кампании. По словам Доннча О’Кервайлла, возможность переломить ситуацию и лучше понять механику атаки была слишком интересной для упущения.
Дальнейшее расследование показало часть более широкой кампании против пользователей Signal. Хакеры выдавали себя за команду мессенджера, пугали ложными угрозами и пытались заставить людей передать доступ к аккаунтам через привязку нового устройства.
Доннча О’Кервайлл не стал раскрывать все детали расследования для сохранения своих следов от атакующих. Среди других целей были несколько типов пользователей:

журналисты со связями с самим исследователем;
его коллега по работе в Amnesty;
участники групповых чатов с уже взломанными;
источники журналистов из круга общения жертв;
активисты и правозащитники в международных проектах.

Подобная логика хорошо подходит для Signal. Мессенджер часто используют журналисты, правозащитники, исследователи и источники. При получении доступа к одному аккаунту хакеры видят групповые чаты, имена, номера и связи между людьми.
Исследователь определил применявшуюся атакующими систему. Она называется ApocalypseZ и автоматизирует фишинговую кампанию для одновременной атаки на большое число людей. Доннча О’Кервайлл также обнаружил написание кода и операторского интерфейса ApocalypseZ на русском языке с переводом переписки жертв на русский.

Уточняется, что хакеры применили автоматизированную систему ApocalypseZ для атаки сразу на 13 500 пользователей Signal, и это превращает фишинг в почти промышленный процесс.

Похожие методы ранее описывались в предупреждениях о фишинговых атаках на пользователей Signal. Компания Signal тоже сообщала о подобных попытках захвата аккаунтов. Немецкое издание Der Spiegel писало об успешном получении доступа к аккаунтам отдельных пользователей, среди которых были заметные публичные фигуры.
Ранее также сообщалось о предупреждениях разведки Нидерландов про попытки взлома Signal и WhatsApp русскими хакерами. Целями становились дипломаты, военные, государственные служащие, журналисты и люди, представляющие интерес для атакующих.
В новой истории значима техника атаки. Это не взлом шифрования Signal, а обман пользователя и привязка аккаунта к чужому устройству. Signal по-прежнему сильный инструмент защищённой переписки, но даже самый защищённый мессенджер не спасает при помощи пользователя в подключении нового устройства.
Фишинг через фейковую поддержку особенно опасен для доверяющих предупреждениям о безопасности пользователей. Сообщение выглядит как помощь, но построено для вызова тревоги через типичные триггеры:

упоминание утечки личных данных;
сообщение о подозрительной активности;
предупреждение о попытке доступа извне;
требование срочной верификации аккаунта;
имитация официального стиля поддержки сервиса.

Доннча О’Кервайлл продолжает следить за кампанией. По его словам, атаки всё ещё идут, поэтому общее число целей может быть намного выше 13 500. Исследователь с иронией заявил о вероятном сожалении хакеров о попытке атаковать его и приветствовал будущие сообщения, особенно с zero-day уязвимостями.
Для пользователей Signal главный практический урок достаточно простой. Нужно включить Registration Lock — блокировку регистрации. Подобная функция устанавливает PIN-код для аккаунта и мешает зарегистрировать номер телефона на другом устройстве без дополнительного подтверждения.
Также стоит относиться с подозрением к любым сообщениям от «поддержки» в мессенджере с требованием ввести код, перейти по ссылке или подтвердить доступ. Настоящие сервисы не просят пересылать проверочные коды в чат.
Для людей из группы риска подобные атаки особенно опасны. Захват Signal может раскрыть несколько типов чувствительной информации:

контакты журналистов и их источники;
темы текущих расследований;
внутренние обсуждения правозащитных проектов;
связи между участниками закрытых чатов;
материалы и документы из переписки.

Эксперты редакции CISOCLUB отмечают, что история показывает невозможность отмены риска социальной инженерии даже сильным шифрованием. По мнению редакции, русскоязычные хакеры не пытались взломать сам Signal сложной криптоатакой, а пошли по более дешёвому пути с имитацией службы поддержки и привязкой аккаунта к чужому устройству. Для защиты значимы не только безопасные мессенджеры, но и включённая блокировка регистрации, привычка проверять любые запросы и понимание невозможности ввода кода подтверждения в чужой чат. При попытке атаковать ведущего мирового эксперта по spyware кампания фактически подарила ему материал для глубокого расследования и публикации, и в этом смысле хакеры серьёзно просчитались.
* Корпорация Meta, владеющая WhatsApp, признана экстремистской организацией и запрещена на территории Российской Федерации.