Русия стартира киберкампания срещу акаунти в Signal и WhatsApp по целия свят
Новина
09-03-2026 | 11:00
Руски държавни хакери се опитват да получат достъп до голям брой акаунти в Signal и WhatsApp, принадлежащи на високопоставени лица, военни и държавни служители по целия свят. Нидерландските разузнавателни и охранителни служби MIVD и AIVD потвърждават, че служители на нидерландското правителство също са цели и жертви на тази кампания. Според службите е възможно и други лица за руското правителство да бъдат обект на атаки в тази кампания, като например журналисти.
Уголемяване на изображението
За да получат достъп до акаунти в Signal и/или WhatsApp, руснаците се опитват да извлекат кодове за потвърждение и ПИН кодове от потребителите. Най-често наблюдаваният метод на руските хакери е да се представят за чатбот за поддръжка на Signal. По този начин те се опитват да получат кодове от своите цели, които след това използват, за да превземат акаунта на потребителя. Освен това руснаците злоупотребяват и с функцията „свързани устройства“ в Signal и WhatsApp. Потребителите често не знаят в този момент, че до акаунтите им може да се осъществи дистанционен достъп.
След като даден акаунт бъде успешно компрометиран, хакерите могат да четат съобщенията, изпратени до него. Те също така могат да имат достъп до чат групи, в които жертвата е член. Руските хакери вероятно са получили достъп до чувствителна информация чрез тази кампания.
Крайно криптиране
Разузнавателните агенции смятат, че значителното руско внимание към Signal се дължи на добрата репутация на приложението. Signal е известен като надежден и независим инструмент за комуникация и предлага възможност за изпращане на крайно криптирани съобщения. В резултат на това той често се използва в правителствата за защита на вътрешните комуникации. Това го прави основната платформа, където злонамерените лица очакват да откраднат чувствителна информация.
„Чат приложения като Signal и WhatsApp, въпреки крайното си криптиране, не са канали за класифицирана, поверителна или чувствителна информация“, подчертава вицеадмирал Петер Рийсинк, директор на MIVD (Нидерландската служба за военно разузнаване и сигурност).
Индивидуални акаунти
Определящ аспект на тази руска атакуваща кампания е, че не се използват технически уязвимости на услугите за съобщения. Вместо това, нападателите злоупотребяват с легитимните функции за сигурност на приложенията. „Не става въпрос за това, че Signal или WhatsApp като цяло са били компрометирани; заплахата е насочена към отделни потребителски акаунти“, казва Симон Смит, генерален директор на AIVD.
За да увеличат устойчивостта срещу гореспоменатата руска кампания, MIVD и AIVD издадоха киберсъобщение. Това съобщение обяснява, наред с други неща, как да се идентифицира атака и какво да се направи по въпроса. То също така посочва как потребителите на Signal могат да идентифицират дали даден контакт може да е бил компрометиран:
Всеки потребител на Signal може да провери за потенциално компрометирани контакти в чат групи. Виждате ли хора, изброени два пъти в списъка с членове на групата, понякога с малко по-различно име? Това може да е както компрометираният акаунт, така и новосъздаденият акаунт от жертвата.
Ако подозирате, че това е така, докладвайте го на отдела за информационна сигурност на вашата организация. Заедно можете да опитате да проверите със собственика на акаунта, за предпочитане чрез средство, различно от Signal или WhatsApp (имейл/телефон), дали е вярно, че акаунтът му се появява два пъти в чат групата. Ако това се окаже неправилно, опитайте да премахнете и двата акаунта от чат групата чрез администратора на групата, след което легитимният акаунт може да поиска достъп до групата отново.
Внимавайте и за членовете на групата, които не са разпознати от останалите членове. Понякога действащият акаунт променя показваното име на компрометирания акаунт, за да остане неоткрит в чат групите. Например, на имена като „Изтрит акаунт“. Ако имената се променят, групата ще бъде уведомена. В случай на легитимна промяна на „Изтрит акаунт“, няма да получите известие.
Акаунти, контролирани от действащия акаунт, също могат да влязат в групата чрез открадната групова връзка и винаги ще получавате известие. Във всички тези незаконни случаи, помолете администратора на групата да премахне акаунтите от чат групата.
Ако изглежда, че администраторът на групата може да е бил компрометиран, се препоръчва да напуснете групата и да създадете нова.
Повече