Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) и Федеральное бюро расследований (ФБР) выпустили совместное предупреждение о продолжающейся сложной фишинговой кампании. Операция, приписываемая угрозам, связанным с российскими спецслужбами, специально нацелена на пользователей коммерческих приложений для обмена сообщениями (CMA), таких как WhatsApp и Signal. Основная цель — захватить контроль над аккаунтами лиц, имеющих высокую разведывательную ценность, включая действующих и бывших официальных лиц правительства США, военнослужащих, политических деятелей и журналистов. Директор ФБР Каш Пател подчеркнул глобальный масштаб компрометации, заявив, что в результате кампании уже произошел несанкционированный доступ к тысячам индивидуальных аккаунтов по всему миру.
Методология атаки заметно сосредоточена на краже учетных данных, а не на эксплуатации технических уязвимостей в самих зашифрованных платформах обмена сообщениями. Хакеры используют целевые фишинговые сообщения, часто выдавая себя за доверенных контактов или службы, чтобы обманом заставить жертв раскрыть свои коды двухфакторной аутентификации (2FA) или учетные данные сеанса. После получения этих данных злоумышленники получают полный доступ к аккаунту жертвы. Этот доступ позволяет им просматривать всю историю сообщений и списки контактов, отправлять сообщения от имени доверенного лица жертвы для проведения дальнейшего фишинга и потенциально извлекать конфиденциальную информацию. Целостность сквозного шифрования Signal и WhatsApp остается неповрежденной; нарушение происходит на уровне аккаунта путем компрометации учетных данных пользователя.
Хотя в американском предупреждении не названа конкретная группа, разведданные отрасли предоставляют контекст. Предыдущие отчеты Microsoft и Google Threat Intelligence Group связывали подобные кампании с прокремлевскими группами угроз, отслеживаемыми под такими названиями, как Star Blizzard, UNC5792 (также известная как UAC-0195) и UNC4221 (UAC-0185). Эти группы известны проведением высокоцелевых операций «целевого фишинга», часто в шпионских целях. Это предупреждение согласуется с отдельным предупреждением Национального агентства по кибербезопасности Франции (ANSSI), чей Центр координации киберкризисов (C4) отметил всплеск атак на аккаунты мессенджеров государственных чиновников, журналистов и бизнес-лидеров.
Конечная стратегическая цель этой кампании многогранна и выходит за рамки простой кражи данных. Контролируя эти высокоценные аккаунты, злоумышленники могут осуществлять постоянную, доверенную имитацию для сбора разведданных, манипулирования информацией и запуска вторичных атак в профессиональных и дипломатических кругах. Этот инцидент подчеркивает ключевой принцип кибербезопасности: даже самое надежное шифрование бессильно против скомпрометированной конечной точки или украденных учетных данных для входа. Это служит stark напоминанием всем пользователям, особенно тем, кто занимает ответственные должности, о необходимости сохранять крайнюю бдительность в отношении фишинговых атак, активировать все доступные функции безопасности, такие как блокировка регистрации, и проверять необычные запросы через отдельный канал связи.
