Rosyjska kampania przeciw użytkownikom Signal i WhatsApp: Ukraina ostrzega przed fałszywym wsparciem i przejęciami kont - Security Bez Tabu

Rosyjska kampania przeciw użytkownikom Signal i WhatsApp: Ukraina ostrzega przed fałszywym wsparciem i przejęciami kont

Cybersecurity news

Wprowadzenie do problemu / definicja

Ukraińskie i zachodnie ostrzeżenia wskazują na utrzymującą się kampanię cyberwywiadowczą wymierzoną w użytkowników komunikatorów Signal i WhatsApp. Celem ataków nie jest złamanie szyfrowania end-to-end, lecz przejęcie konkretnych kont poprzez socjotechnikę, nadużycie legalnych funkcji aplikacji oraz wyłudzenie kodów weryfikacyjnych, PIN-ów i kluczy odzyskiwania.

To ważne przypomnienie, że bezpieczeństwo komunikacji nie zależy wyłącznie od kryptografii. Równie istotna pozostaje ochrona samego konta, urządzenia końcowego oraz zachowań użytkownika.

W skrócie

Rosyjskie podmioty powiązane z wywiadem mają prowadzić długofalowe działania wymierzone w urzędników, wojskowych, polityków, dziennikarzy i inne osoby o wysokiej wartości operacyjnej. W obserwowanych scenariuszach napastnicy podszywają się pod wsparcie techniczne komunikatorów, nakłaniają ofiary do przekazania kodów autoryzacyjnych oraz wykorzystują funkcję podłączania dodatkowych urządzeń do konta.

  • atak nie wymaga łamania szyfrowania komunikatora,
  • głównym wektorem jest socjotechnika i phishing,
  • celem są konta osób o znaczeniu operacyjnym,
  • skutkiem może być cichy dostęp do wiadomości, grup i metadanych.

Kontekst / historia

W 2026 roku temat zagrożeń wobec komercyjnych aplikacji do bezpiecznej komunikacji wyraźnie przyspieszył. Holenderskie służby AIVD i MIVD opisały globalną kampanię rosyjskich aktorów państwowych ukierunkowaną na przejmowanie kont Signal i WhatsApp należących do dygnitarzy, urzędników i personelu wojskowego.

Kolejne ostrzeżenia pojawiły się również w Stanach Zjednoczonych. Wspólne komunikaty instytucji bezpieczeństwa potwierdziły, że rosyjskie służby rozwijają operacje wymierzone w użytkowników komercyjnych komunikatorów, w tym osoby związane z administracją, wojskiem, mediami i strukturami międzynarodowymi.

W przypadku Ukrainy zagrożenie ma szczególną wagę, ponieważ komunikatory szyfrowane odgrywają ważną rolę w codziennej wymianie informacji między administracją, personelem wojskowym, wolontariuszami i osobami zaangażowanymi w działania państwowe. To czyni je atrakcyjnym celem dla operacji wywiadowczych nastawionych na pozyskanie danych operacyjnych i bieżącej świadomości sytuacyjnej.

Analiza techniczna

Techniczny rdzeń tej kampanii opiera się na obejściu modelu bezpieczeństwa użytkownika, a nie na łamaniu kryptografii. Napastnicy wykorzystują legalne mechanizmy aplikacji połączone z manipulacją ofiary.

Pierwszy wariant polega na podszywaniu się pod oficjalne wsparcie komunikatora. Ofiara otrzymuje wiadomość sugerującą konieczność weryfikacji konta, zabezpieczenia sesji albo potwierdzenia aktywności. Następnie jest proszona o przekazanie kodu SMS, kodu rejestracyjnego, PIN-u lub innego elementu uwierzytelniającego.

Drugi wariant dotyczy funkcji linked devices. Jeżeli użytkownik zeskanuje spreparowany kod QR, zaakceptuje fałszywe żądanie powiązania urządzenia albo wykona instrukcje przesłane przez rzekome wsparcie, konto może zostać rozszerzone o klienta kontrolowanego przez napastnika. W takim scenariuszu szyfrowanie end-to-end nadal działa, ale wiadomości trafiają także na urządzenie przeciwnika, ponieważ zostało ono legalnie autoryzowane.

Trzeci, bardziej zaawansowany wariant obejmuje klucze odzyskiwania kopii zapasowych Signal. Atakujący nakłania ofiarę do włączenia backupu, otwarcia ekranu z recovery key i przekazania tego klucza. Dzięki temu może uzyskać dostęp do danych zapisanych w kopii zapasowej oraz zwiększyć trwałość dostępu do treści komunikacji.

Istotnym problemem jest także detekcja. Kompromitacja nie musi objawiać się klasycznymi symptomami infekcji malware. Użytkownik może nie zauważyć niczego poza pojedynczą wiadomością phishingową, a jedynym śladem może być obecność nieznanego urządzenia w ustawieniach aplikacji lub incydent ponownej rejestracji konta.

Konsekwencje / ryzyko

Ryzyko wykracza daleko poza prywatność pojedynczego użytkownika. Przejęcie konta w komunikatorze może ujawnić bieżące rozmowy, historię korespondencji, skład grup, relacje z kontaktami, harmonogram działań i informacje kontekstowe o organizacji.

W środowisku administracji publicznej, wojska lub mediów może to prowadzić do deanonimizacji źródeł, mapowania sieci kontaktów, profilowania osób oraz planowania dalszych operacji wpływu lub sabotażu. Dodatkowym zagrożeniem jest niski koszt takich operacji i ich skalowalność.

Dla organizacji to również problem błędnej oceny poziomu ochrony. Sam fakt używania komunikatora z silnym szyfrowaniem nie oznacza, że kanał jest bezpieczny dla informacji niejawnych, wrażliwych lub operacyjnie krytycznych. Jeżeli przeciwnik przejmie konto albo dołączy własne urządzenie do sesji, treść wiadomości staje się dla niego dostępna bez konieczności łamania zabezpieczeń kryptograficznych.

Rekomendacje

Organizacje powinny przyjąć, że bezpieczny komunikator nie jest równoznaczny z bezpiecznym procesem komunikacji. Konieczne jest rozdzielenie użycia komunikatorów komercyjnych od obiegu informacji poufnych oraz wdrożenie dodatkowych procedur dla personelu wysokiego ryzyka.

  • nie przekazywać nikomu kodów weryfikacyjnych, PIN-ów ani kluczy odzyskiwania,
  • traktować każdą wiadomość o rzekomej konieczności zabezpieczenia konta jako potencjalny phishing,
  • regularnie sprawdzać listę powiązanych urządzeń i usuwać nieznane sesje,
  • stosować blokadę aplikacji, ochronę urządzenia i aktualizacje systemu,
  • ograniczać lub wyłączać kopie zapasowe tam, gdzie nie są niezbędne,
  • weryfikować nietypowe prośby drugim kanałem komunikacji,
  • szkolić użytkowników z rozpoznawania fałszywego wsparcia technicznego.

Z perspektywy zespołów bezpieczeństwa warto przygotować playbooki reagowania na incydenty związane z komunikatorami mobilnymi, monitorować zgłoszenia o utracie dostępu i ponownej rejestracji kont oraz uwzględnić tego typu aplikacje w modelu zagrożeń dla kadry kierowniczej i personelu terenowego.

Podsumowanie

Opisana kampania pokazuje wyraźny trend w cyberwywiadzie: zamiast atakować mechanizmy kryptograficzne, przeciwnik atakuje człowieka, proces i funkcje pomocnicze aplikacji. Signal i WhatsApp nie muszą zostać technicznie złamane, aby konto użytkownika zostało skutecznie przejęte.

Dla organizacji i użytkowników indywidualnych oznacza to konieczność zmiany podejścia do bezpiecznych komunikatorów. Największym ryzykiem nie jest dziś wyłącznie słaby algorytm, lecz legalnie autoryzowany dostęp uzyskany dzięki skutecznej socjotechnice.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/06/ukraine-says-russian-intelligence-used.html
  2. Internet Crime Complaint Center (IC3) — Russian Intelligence Services Continue to Target Commercial Messaging Applications — https://www.ic3.gov/PSA/2026/PSA260626
  3. AIVD — Russia targets Signal and WhatsApp accounts in cyber campaign — https://english.aivd.nl/latest/news/2026/03/09/russia-targets-signal-and-whatsapp-accounts-in-cyber-campaign
  4. AIVD/MIVD — Cybersecurity Advisory: Phishing via messaging apps Signal and WhatsApp — https://english.aivd.nl/site/binaries/site-content/collections/documents/2026/03/09/cybersecurity-advisory.-phishing-via-messaging-apps-signal-and-whatsapp/cybersecurity-advisory-phishing-via-messaging-apps-signal-and-whatsapp.pdf
  5. The Hacker News — FBI Warns Russian Intelligence Hackers Now Target Signal Backup Recovery Keys — https://thehackernews.com/2026/06/fbi-warns-russian-intelligence-hackers.html