Российские хакеры охотятся за кодами восстановления Signal: предупреждение ФБР

Группировки UNC5792 и UNC4221 под прицелом спецслужб

Как сообщает НВ — Техно: Федеральное бюро расследований (ФБР) выпустило предостережение о деятельности хакерских коллективов UNC5792 и UNC4221, связанных с российскими спецслужбами, включая ФСБ и военную разведку. Эти злоумышленники целенаправленно добывают ключи восстановления резервных копий мессенджера Signal. Их жертвами становятся государственные служащие США и других стран, военнослужащие, политики, журналисты, а также украинские должностные лица. Важно понимать, что угроза касается не только западных чиновников, но и украинцев, работающих в критически важных сферах.

Тактика атак и возможные последствия

Злоумышленники прибегают к методам социальной инженерии, выдавая себя за сотрудников техподдержки Signal. Они убеждают цель активировать резервное копирование, вывести на экран ключ восстановления и отправить его в чат. Получив такой ключ, хакеры способны просматривать всю историю переписки и сохранять доступ даже после смены устройства. Если пользователь создает новый аккаунт с тем же номером, старый ключ может открыть доступ к будущим резервным копиям.

В своем отчете ФБР впервые открыто называет группы UNC5792 и UNC4221, подчеркивая, что атаки не взламывают шифрование Signal и не используют уязвимости приложения. По данным бюро, в марте текущего года в рамках масштабной кампании по всему миру были скомпрометированы тысячи учетных записей. Государственный департамент США назначил награду до 10 миллионов долларов за сведения о UNC5792 по программе Rewards for Justice. Спецслужбы Нидерландов, Германии и Франции также фиксировали аналогичные угрозы.

Согласно информации Google, в начале 2025 года UNC5792 эксплуатировала функцию привязанных устройств в Signal, а затем применила схожие методы против WhatsApp и Telegram. В число целей входят действующие и бывшие чиновники США и других государств, военные, политики, журналисты и представители украинской власти. Используемые приемы - маскировка под обязательную активацию двухфакторной аутентификации или срочное восстановление данных - указывают на возрастающую активность этих хакерских групп. Ситуация особенно актуальна для русскоязычных пользователей, которые могут столкнуться с подобными атаками в условиях информационного противостояния.