USA oferuje 10 mln dolarów za informacje o rosyjskich grupach phishingowych atakujących Signal i WhatsApp - Security Bez Tabu

USA oferuje 10 mln dolarów za informacje o rosyjskich grupach phishingowych atakujących Signal i WhatsApp

Cybersecurity news

Wprowadzenie do problemu

Phishing ukierunkowany na użytkowników szyfrowanych komunikatorów staje się jednym z najpoważniejszych zagrożeń dla administracji publicznej, wojska, mediów i organizacji pozarządowych. Najnowsza sprawa dotyczy kampanii przypisywanych rosyjskim podmiotom, które nie atakują samego szyfrowania end-to-end, lecz wykorzystują socjotechnikę oraz legalne funkcje zarządzania kontem w aplikacjach Signal i WhatsApp.

To ważne przypomnienie, że bezpieczeństwo komunikatora nie zależy wyłącznie od kryptografii. Równie istotne są procesy uwierzytelniania, odzyskiwania dostępu, parowania urządzeń i świadomość użytkownika.

W skrócie

Rząd USA ogłosił nagrodę do 10 mln dolarów za informacje prowadzące do identyfikacji osób powiązanych z rosyjskimi grupami UNC5792 i UNC4221. Kampanie tych operatorów miały koncentrować się na przejmowaniu kont w Signal i WhatsApp należących do urzędników, wojskowych, dziennikarzy oraz osób związanych z bezpieczeństwem narodowym.

  • celem są konta o wysokiej wartości wywiadowczej,
  • atakujący wykorzystują głównie socjotechnikę i fałszywe komunikaty wsparcia,
  • szczególnie groźne jest wyłudzanie kluczy odzyskiwania kopii zapasowych Signal,
  • kompromitacja jednego konta może prowadzić do dalszych ataków na kolejne osoby.

Kontekst i historia

Opisywane działania wpisują się w długotrwały wzorzec aktywności rosyjskich grup cyberszpiegowskich, które od lat koncentrują się na pozyskiwaniu informacji z otoczenia dyplomatycznego, wojskowego i eksperckiego. Wcześniejsze ostrzeżenia amerykańskich instytucji dotyczyły kampanii phishingowych wymierzonych w osoby zaangażowane w kwestie związane z Ukrainą, NATO i bezpieczeństwem międzynarodowym.

Najnowsza odsłona tych operacji pokazuje zmianę taktyki. Zamiast skupiać się wyłącznie na przejmowaniu jednorazowych kodów weryfikacyjnych, operatorzy coraz częściej próbują zdobyć dane umożliwiające trwały dostęp do konta, historii rozmów i list kontaktów. Taka ewolucja znacząco podnosi skuteczność ataków oraz wartość pozyskiwanych informacji.

Analiza techniczna

Mechanizm działania opiera się na połączeniu socjotechniki i nadużywania prawidłowych funkcji aplikacji. Ofiara może otrzymać wiadomość podszywającą się pod współpracownika, dział wsparcia technicznego lub instytucję zaufaną, z prośbą o pilne wykonanie czynności związanej z bezpieczeństwem konta.

W przypadku Signal szczególnie niebezpieczne jest wyłudzenie klucza odzyskiwania kopii zapasowej. Taki sekret może umożliwić nie tylko przejęcie bieżącego dostępu, ale także odtworzenie archiwalnych danych rozmów. To oznacza jakościową zmianę względem wcześniejszych kampanii, które dawały napastnikom bardziej ograniczone i krótkotrwałe możliwości działania.

Raportowane techniki obejmują również modyfikowanie legalnych zaproszeń do grup w Signal w taki sposób, aby kierować użytkownika do treści kontrolowanych przez atakujących. Dzięki temu phishing staje się bardziej wiarygodny, ponieważ wykorzystuje elementy znane z normalnego przepływu pracy i komunikacji zespołowej.

Po przejęciu konta napastnik może czytać wiadomości, analizować listy kontaktów, identyfikować uczestników grup oraz wykorzystywać zaufanie do skompromitowanego profilu w celu dalszego rozprzestrzeniania kampanii. W praktyce pojedyncza kompromitacja może uruchomić cały łańcuch kolejnych incydentów.

Konsekwencje i ryzyko

Ryzyko wynikające z takich działań jest szczególnie wysokie dla instytucji publicznych, sektora obronnego i redakcji. Przejęcie konta w komunikatorze może prowadzić do ujawnienia informacji operacyjnych, harmonogramów spotkań, danych kontaktowych, ustaleń dyplomatycznych, materiałów źródłowych dziennikarzy oraz ocen sytuacyjnych.

Problemem jest także wykrywalność incydentu. Jeżeli atakujący korzysta z legalnych funkcji parowania urządzeń lub odzyskiwania dostępu, aktywność może nie przypominać klasycznego włamania. Użytkownik często nie zauważa momentu kompromitacji, a organizacja ma ograniczone możliwości monitorowania, zwłaszcza jeśli nie zarządza centralnie urządzeniami mobilnymi.

Na poziomie strategicznym takie kampanie wzmacniają możliwości wywiadowcze przeciwnika bez potrzeby prowadzenia głośnych, destrukcyjnych operacji. Pozyskane dane mogą służyć do profilowania celów, mapowania relacji, planowania dalszych działań oraz prowadzenia operacji wpływu.

Rekomendacje

Organizacje powinny traktować komunikatory jako krytyczny element powierzchni ataku. Ochrona tych narzędzi powinna obejmować nie tylko ustawienia aplikacji, ale także procedury organizacyjne, szkolenia i kontrolę urządzeń końcowych.

  • wdrożenie szkoleń z rozpoznawania fałszywych wiadomości dotyczących wsparcia technicznego, odzyskiwania konta i zaproszeń do grup,
  • regularny przegląd powiązanych urządzeń, aktywnych sesji i ustawień odzyskiwania konta,
  • stosowanie polityki korzystania wyłącznie z zatwierdzonych komunikatorów i konfiguracji bezpieczeństwa,
  • szybkie zgłaszanie podejrzanych wiadomości do SOC lub CSIRT,
  • ochrona urządzeń mobilnych z wykorzystaniem MDM lub MAM,
  • stosowanie dodatkowej weryfikacji tożsamości przy nietypowych lub pilnych żądaniach,
  • rozważenie oddzielenia komunikacji operacyjnej od codziennej w środowiskach wysokiego ryzyka.

W praktyce każdy nieoczekiwany monit dotyczący kodów weryfikacyjnych, kluczy odzyskiwania, migracji konta lub podłączenia nowego urządzenia powinien być traktowany jako potencjalny incydent bezpieczeństwa.

Podsumowanie

Oferta nagrody ogłoszona przez USA pokazuje, że współczesne operacje cyberszpiegowskie coraz częściej omijają problem łamania kryptografii i koncentrują się na użytkowniku oraz procesie zarządzania kontem. Ataki przypisywane grupom UNC5792 i UNC4221 są przykładem skutecznego połączenia socjotechniki, nadużywania legalnych funkcji aplikacji i działań wymierzonych w cele o wysokiej wartości wywiadowczej.

Dla obrońców to wyraźny sygnał, że samo szyfrowanie nie wystarcza. Skuteczna ochrona wymaga kontroli urządzeń, procedur odzyskiwania dostępu, świadomości użytkowników i stałego nadzoru nad komunikacją mobilną.

Źródła

  1. https://securityaffairs.com/194441/security/u-s-offers-10-million-reward-for-russian-hackers-behind-signal-and-whatsapp-phishing.html
  2. https://rewardsforjustice.net/rewards/russian-linked-malicious-cyber-actors-targeting-signal-messenger/
  3. https://www.cisa.gov/news-events/alerts/2026/06/26/russian-intelligence-services-targeting-signal-messenger
  4. https://support.signal.org/hc/en-us/articles/360007059752-Backup-and-Restore-Messages
  5. https://faq.whatsapp.com/