Служба безпеки України (СБУ) спільно з ФБР викрила тривалу кібероперацію, яку, за даними української спецслужби, здійснюють російські розвідувальні служби. Метою кампанії є компрометація облікових записів у месенджерах — Signal, WhatsApp та інших платформах — що належать державним посадовцям, військовослужбовцям, політикам і активістам в Україні, Європі та США. Зловмисники використовують SMS-фішинг, імітуючи службових ботів месенджерів, щоб викрадати облікові дані. Усі користувачі захищених месенджерів, особливо ті, хто пов’язаний із державними та військовими структурами, мають негайно перевірити активні сеанси та увімкнути двофакторну автентифікацію.
Механізм атаки: SMS-фішинг під виглядом техпідтримки
Як повідомляє СБУ, зловмисники розсилають жертвам SMS-повідомлення, замасковані під сповіщення від офіційного бота підтримки месенджера. Повідомлення спонукають користувачів розкрити облікові дані своїх акаунтів — коди підтвердження, PIN-коди або ключі відновлення.
Цей метод соціальної інженерії ефективний із кількох причин:
- SMS-канал сприймається користувачами як більш довірений, ніж електронна пошта
- Імітація службового бота месенджера створює ілюзію легітимності
- Наголошення на терміновості в текстах повідомлень знижує критичність сприйняття
СБУ підкреслює, що атаки спрямовані не лише проти організацій, посадовців і публічних осіб, а й проти особистих акаунтів пересічних громадян України. Це вказує на масштабний характер операції, коли персональні контакти можуть використовуватися як точки входу для доступу до цінніших цілей.
Контекст загрози та атрибуція
СБУ прямо пов’язала кампанію з російськими спецслужбами, однак не назвала конкретне хакерське угруповання. Варто зазначити, що ФБР, за наявними даними, також пов’язує поточну фішингову кампанію, націлену на комерційні месенджери, з російськими розвідувальними структурами, хоча первинний публічний документ ФБР із цього приводу в доступних джерелах наразі не представлений — цю деталь слід сприймати з обережністю до появи офіційного підтвердження з боку американського відомства.
Паралельно CERT-UA повідомила про окрему, але тематично пов’язану кампанію цільового фішингу, спрямовану проти українських державних організацій. Цю операцію приписують угрупованню UNC1151 (також відомому як Ghostwriter і UAC-0057), яке пов’язують із Білоруссю. Зловмисники використовували скомпрометовані облікові записи для доставки зловмисного програмного забезпечення — інфостілера OYSTERBLUES.
Сукупність цих подій демонструє скоординований тиск на комунікаційну інфраструктуру українських державних структур одразу з кількох напрямків.
Оцінка впливу
Компрометація месенджерів становить критичну загрозу для кількох категорій користувачів:
- Військовослужбовці та оборонний сектор — витік оперативної інформації, координат, планів
- Державні посадовці — доступ до політично та економічно чутливого листування
- Активісти та журналісти — розкриття джерел, контактів, планів діяльності
- Пересічні громадяни — використання їхніх акаунтів як проміжних ланок для атак на більш значущі цілі
В умовах активного збройного конфлікту перехоплення військових комунікацій через месенджери може мати безпосередні наслідки на полі бою. Месенджери, які спочатку позиціонувалися як захищені канали зв’язку, стають пріоритетною ціллю саме тому, що користувачі довіряють їм найбільш чутливу інформацію.
Практичні рекомендації
Щоб зменшити ризики компрометації акаунтів у месенджерах, необхідно виконати такі дії:
- Аудит активних сеансів — перевірте перелік підключених пристроїв у налаштуваннях месенджера (Signal: Налаштування → Прив’язані пристрої; WhatsApp: Налаштування → Прив’язані пристрої). Негайно від’єднайте всі невідомі сеанси
- Увімкніть двофакторну автентифікацію — активуйте PIN-код реєстрації в Signal і двоетапну перевірку в WhatsApp
- Ніколи не передавайте коди підтвердження — жоден легітимний сервіс не запитує коди верифікації, PIN-коди чи ключі відновлення через SMS або в чаті
- Не скануйте QR-коди з неперевірених джерел — QR-код може бути використаний для прив’язки вашого акаунта до пристрою зловмисника
- Ігноруйте підозрілі посилання — не переходьте за посиланнями й не відкривайте файли з невідомих або сумнівних чатів
- Проведіть інформування співробітників — для організацій: доведіть до персоналу інформацію про поточну кампанію SMS-фішингу з конкретними прикладами маскування під ботів техпідтримки
З огляду на те, що кампанія триває й охоплює кілька країн, пріоритет реагування — високий. Перевірку активних сеансів і налаштування двофакторної автентифікації варто виконати протягом найближчих 24 годин, особливо користувачам, пов’язаним із державними, військовими або громадськими структурами. Організаціям рекомендується розглянути перехід на керовані корпоративні рішення для обміну повідомленнями з централізованим контролем сеансів, якщо месенджери використовуються для службових комунікацій.