ИИтог

США объявили награду $10 млн за информацию о русской группе, хакившей Signal и WhatsApp журналистов

безопасностьРедакция ИИтогArs Technica🔥73Рейтинг ИИтог · значимость 61 · 142857/ч
США объявили награду $10 млн за информацию о русской группе, хакившей Signal и WhatsApp журналистов

Федеральные власти США объявили награду в размере $10 млн за информацию о группе киберпреступников, связанной с российскими спецслужбами. С марта 2026 года группа активно проводит фишинговые кампании, целая на высокопоставленных целей: действующих и бывших сотрудников правительства США, военных, политиков и журналистов.

Атакующие рассылают сообщения, выдаваемые за автоматические уведомления поддержки, и просят адресатов перейти по ссылкам или предоставить коды верификации и пароли аккаунтов. После компрометации аккаунта злоумышленники могут читать новые входящие сообщения, хотя Signal имеет встроенную защиту, блокирующую доступ к предыдущим диалогам.

По последним данным ФБР, в кампанию скомпрометировано тысячи аккаунтов. Тактика эволюционировала: помимо фишинга, злоумышленники теперь просят создать резервную копию всех предыдущих сообщений, а затем запрашивают длинный парольный ключ восстановления для шифра. Получив этот ключ, они получают доступ к прошлым диалогам в Signal.

ФБР идентифицировало две группы, ответственные за атаки: UNC5792 и UNC4221. Во время расследования федеральными властями США совместно с европейскими партнёрами выяснилось, что кампании координируются из России и странах постсоветского пространства.

Ключевые факты

  • Награда $10 млн за информацию о русской госгруппе киберпреступников, компрометировавшей тысячи аккаунтов Signal и WhatsApp.
  • Атаки нацелены на журналистов и сотрудников правительства США, активны с марта 2026 года.
  • Тактика включает фишинг под поддержку мессенджеров, запрос кодов верификации и парольных ключей для доступа к зашифрованным бэкапам.
  • Signal защищает старые сообщения даже при компрометации аккаунта, но доступ к новым сообщениям и резервным копиям остаётся уязвим.
  • ФБР отследило две группы: UNC5792 и UNC4221, связанные с российскими спецслужбами.

Почему это важно

Массированная кампания против высокопоставленных целей (госслужащих, военных, журналистов) напрямую угрожает национальной безопасности США и независимому журнализму. Компрометация зашифрованных каналов связи исторически считалась практически невозможной, успех этой кампании показывает новые векторы атак на end-to-end-encrypted мессенджеры через компрометацию резервных копий.

Кому это важно

Журналисты, расследователи, правительственные чиновники, военные и дипломаты, использующие Signal и WhatsApp как каналы безопасного общения. Разработчики приватных мессенджеров должны пересмотреть модель защиты бэкапов. Органы безопасности разных стран, работающие с чувствительной информацией через эти платформы.

Как это применить

Пользователям следует: отключить автоматические бэкапы в Signal, если используются уязвимые каналы хранения; остерегаться фишинговых сообщений, выдаваемых за служебные уведомления от самого мессенджера; никогда не делиться парольными ключами восстановления; проверять подлинность сообщений поддержки через официальные каналы. Организациям рекомендуется включить двухфакторную аутентификацию и регулярно обучать персонал распознаванию фишинга.

Можно ли доверять

Источник, официальное уведомление ФБР и заявление Ars Technica. Информация о двух группах (UNC5792 и UNC4221) и деталях кампании основана на внутреннем расследовании США в сотрудничестве с европейскими партнёрами. Примеры фишинговых сообщений приведены прямым текстом из перехватов. Награда $10 млн, стандартный инструмент США для получения информации о государственных киберугрозах.

Риски и подводные камни

Парольный ключ восстановления в Signal является самой уязвимой точкой, его передача в открытом виде или через скомпрометированный канал полностью раскрывает прошлые сообщения. Фишинговые сообщения искусно имитируют служебные уведомления и используют социальную инженерию. Двухфакторная аутентификация, упомянутая в поддельном сообщении, на самом деле НЕ введена в Signal, что показывает уровень фальсификации. Атакующие используют языковые вариации (русский контекст упоминается в одном из поддельных сообщений как якобы итог совместного расследования), это может привести к дополнительной путанице среди целевых групп.

«Расследование, проведённое совместно с правительством США и европейскими партнёрами, выявило, что атаки на аккаунты проводились хакерами из России и стран постсоветского пространства.»

— ФБР (из поддельного сообщения поддержки, перехваченного во время кампании)