США предлагают 10 миллионов долларов за информацию о группе, взломавшей Signal и WhatsApp

Федеральные власти объявили вознаграждение до 10 миллионов долларов за информацию, которая приведет к идентификации или обнаружению российской государственной кибергруппы. Эта группа скомпрометировала тысячи аккаунтов Signal и WhatsApp, принадлежащих журналистам-расследователям и сотрудникам правительства США.

Операция активна как минимум с марта, когда ФБР опубликовало предупреждение о фишинговых кампаниях, нацеленных на высокоприоритетные цели. Злоумышленники, связанные с российской разведкой, рассылают сообщения, маскирующиеся под автоматическую поддержку, и просят пользователей перейти по ссылке или предоставить коды подтверждения или пароли. Если пользователь выполняет требование, устройство злоумышленника привязывается к аккаунту, либо происходит полный перехват управления.

В результате злоумышленники могут читать любые новые сообщения, отправленные на скомпрометированный аккаунт. Однако встроенная функция безопасности Signal не позволяет читать предыдущие разговоры. Сообщения отправляются «лицам с высокой разведывательной ценностью, таким как бывшие и нынешние правительственные чиновники США, военнослужащие, политические деятели и журналисты».

На прошлой неделе ФБР опубликовало обновление, в котором говорится, что кампания эволюционировала. Помимо попыток выдать себя за ботов поддержки, сообщения также призывают пользователей создать резервную копию всех предыдущих переписок. Затем следует второе сообщение с просьбой отправить длинный пароль, используемый для шифрования резервных копий на серверах Signal. Таким образом злоумышленники получают доступ к прошлым перепискам.

В обновлении указано, что ответственны две российские правительственные группы, отслеживаемые как UNC5792 и UNC4221. Одно из сообщений содержит текст, в котором утверждается, что атаки были совершены хакерами из Ирана и постсоветских стран, и предлагается настроить резервное копирование Signal.