Mastodon Mastodon Mastodon Mastodon

СБУ и ФБР раскрыли масштабную кампанию российских спецслужб по взлому мессенджеров

Фото автора

CyberSecureFox Editorial Team

Опубликовано:

Служба безопасности Украины (СБУ) совместно с ФБР раскрыла продолжительную кибероперацию, которую, по данным украинской спецслужбы, проводят российские разведывательные службы. Целью кампании является компрометация аккаунтов в мессенджерах — Signal, WhatsApp и других платформах — принадлежащих государственным чиновникам, военнослужащим, политикам и активистам в Украине, Европе и США. Атакующие используют SMS-фишинг с имитацией служебных ботов мессенджеров для кражи учётных данных. Всем пользователям защищённых мессенджеров, особенно связанным с государственными и военными структурами, рекомендуется немедленно проверить активные сессии и включить двухфакторную аутентификацию.

Механизм атаки: SMS-фишинг под видом техподдержки

Как сообщает СБУ, злоумышленники рассылают жертвам SMS-сообщения, замаскированные под уведомления от официального бота поддержки мессенджера. Сообщения побуждают пользователей раскрыть учётные данные своих аккаунтов — коды подтверждения, PIN-коды или ключи восстановления.

Этот метод социальной инженерии эффективен по нескольким причинам:

  • SMS-канал воспринимается пользователями как более доверенный, чем электронная почта
  • Имитация служебного бота мессенджера создаёт иллюзию легитимности
  • Срочность в формулировках сообщений снижает критичность восприятия

СБУ подчёркивает, что атаки направлены не только на организации, чиновников и публичных фигур, но и на личные аккаунты рядовых граждан Украины. Это указывает на масштабный характер операции, где персональные контакты могут использоваться как точки входа для доступа к более ценным целям.

Контекст угрозы и атрибуция

СБУ прямо связала кампанию с российскими спецслужбами, однако не назвала конкретную хакерскую группировку. Стоит отметить, что ФБР, по имеющимся данным, также связывает продолжающуюся фишинговую кампанию, нацеленную на коммерческие мессенджеры, с российскими разведывательными структурами, хотя первичный публичный документ ФБР по этому поводу в доступных источниках не представлен — эту деталь следует воспринимать с оговоркой до появления официального подтверждения со стороны американского ведомства.

Параллельно CERT-UA сообщила об отдельной, но тематически связанной кампании целевого фишинга, направленной против украинских государственных организаций. Эту операцию приписывают группировке UNC1151 (также известной как Ghostwriter и UAC-0057), которую связывают с Беларусью. Атакующие использовали скомпрометированные учётные записи для доставки вредоносного программного обеспечения — инфостилера OYSTERBLUES.

Совокупность этих событий демонстрирует скоординированное давление на коммуникационную инфраструктуру украинских государственных структур сразу с нескольких направлений.

Оценка воздействия

Компрометация мессенджеров представляет критическую угрозу для нескольких категорий пользователей:

  • Военнослужащие и оборонный сектор — утечка оперативной информации, координат, планов
  • Государственные чиновники — доступ к политически и экономически чувствительной переписке
  • Активисты и журналисты — раскрытие источников, контактов, планов деятельности
  • Рядовые граждане — использование их аккаунтов как промежуточных звеньев для атак на более значимые цели

В условиях активного вооружённого конфликта перехват военных коммуникаций через мессенджеры может иметь непосредственные последствия на поле боя. Мессенджеры, изначально позиционируемые как защищённые каналы связи, становятся приоритетной мишенью именно потому, что пользователи доверяют им наиболее чувствительную информацию.

Практические рекомендации

Для снижения рисков компрометации аккаунтов в мессенджерах необходимо выполнить следующие действия:

  1. Аудит активных сессий — проверьте список подключённых устройств в настройках мессенджера (Signal: Настройки → Привязанные устройства; WhatsApp: Настройки → Привязанные устройства). Отключите все незнакомые сессии немедленно
  2. Включите двухфакторную аутентификацию — активируйте PIN-код регистрации в Signal и двухшаговую проверку в WhatsApp
  3. Никогда не передавайте коды подтверждения — ни один легитимный сервис не запрашивает коды верификации, PIN-коды или ключи восстановления через SMS или в чате
  4. Не сканируйте QR-коды из непроверенных источников — QR-код может использоваться для привязки вашего аккаунта к устройству злоумышленника
  5. Игнорируйте подозрительные ссылки — не переходите по ссылкам и не открывайте файлы из незнакомых или сомнительных чатов
  6. Проведите информирование сотрудников — для организаций: доведите до персонала информацию о текущей кампании SMS-фишинга с конкретными примерами маскировки под ботов техподдержки

Учитывая, что кампания продолжается и охватывает несколько стран, приоритет реагирования — высокий. Проверку активных сессий и настройку двухфакторной аутентификации следует выполнить в течение ближайших 24 часов, особенно пользователям, связанным с государственными, военными или общественными структурами. Организациям рекомендуется рассмотреть переход на управляемые корпоративные решения для обмена сообщениями с централизованным контролем сессий, если мессенджеры используются для служебных коммуникаций.


CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.