Кража сообщений в Signal. ФБР предупредило о новой схеме российских хакеров

Об этом пишет издание TNW.

Если жертва передаст ключ восстановления резервной копии, злоумышленники смогут читать всю историю сообщений и сохранят доступ даже после смены телефона.

Обновленное предупреждение сообщает, что хакеры охотятся именно за ключами восстановления резервных копий Signal. Достаточно получить такой ключ один раз, чтобы восстановить резервную копию аккаунта, просмотреть все личные и групповые сообщения, а также получить контроль над учетной записью.

ФБР отмечает, что ключ продолжает действовать даже после смены телефона. Если пользователь создаст новый аккаунт с тем же номером телефона, старый ключ по-прежнему можно будет использовать для доступа к будущим резервным копиям. Устранить проблему можно только создав новый ключ в настройках Signal. Это заблокирует использование старого ключа в будущем, но не вернет данные, которые хакеры уже успели получить.

В документе также впервые упоминаются две хакерские группы — UNC5792 и UNC4221. ФБР связывает их деятельность с несколькими подразделениями российских спецслужб, в частности с сотрудниками ФСБ и военной разведки России. Кампания направлена против пользователей Signal и WhatsApp, однако схема с ключом восстановления касается только Signal.

Основными целями атак являются люди, которых американские спецслужбы считают особенно ценными для сбора разведданных. Среди них — действующие и бывшие правительственные чиновники США и других стран, военные, политики, журналисты и украинские должностные лица. В марте ФБР сообщало, что в результате более широкой кампании уже были скомпрометированы тысячи аккаунтов по всему миру.

Мошеннические сообщения выдают себя за службу поддержки Signal. Ранее злоумышленники просили пользователей сообщать SMS-коды подтверждения или PIN-коды аккаунтов либо отправляли поддельные ссылки на приглашения в группы. Новая схема убеждает жертву включить резервное копирование, открыть экран с ключом восстановления и отправить этот ключ в чат.

ФБР опубликовало два примера таких сообщений. Одно маскируется под обязательное включение двухфакторной аутентификации, другое — под срочное восстановление данных из-за якобы существующего риска потери сообщений. Обе схемы являются примерами социальной инженерии, когда злоумышленники заставляют человека добровольно передать конфиденциальную информацию.

В ФБР и CISA подчеркивают, что эти атаки не взламывают шифрование Signal и не используют уязвимости самого приложения. Вместо этого хакеры получают доступ к аккаунтам благодаря обману пользователей и использованию легальных функций сервиса.

Одновременно Государственный департамент США в рамках программы Rewards for Justice объявил вознаграждение в размере до 10 миллионов долларов за информацию о группе UNC5792. О подобной деятельности ранее также предупреждали спецслужбы Нидерландов, Германии и Франции. Компания Google ещё в начале 2025 года сообщала, что UNC5792 использовала функцию привязанных устройств в Signal, а впоследствии применила аналогичные методы против WhatsApp и Telegram.

ФБР напоминает, что сквозное шифрование защищает сообщения во время передачи, но не может защитить пользователя, если он сам передаст ключи доступа. Если в Signal поступает сообщение с просьбой предоставить ключ восстановления, код подтверждения или PIN-код, его следует считать мошенническим, независимо от того, насколько убедительно оно выглядит. Signal не обращается к пользователям в чатах с просьбой предоставить такие данные.