На початку цього року дослідник з безпеки Доннха О’Кервалл, який спеціалізується на розслідуванні шпигунських кібератак, опинився в незвичній ролі — замість досліджувати зловмисників, він сам став їхньою ціллю.
«Шановний користувачу, це чат-бот служби безпеки Signal. Ми помітили підозрілу активність на вашому пристрої, яка могла призвести до витоку даних», — йшлося в повідомленні, яке він отримав у своєму акаунті Signal.
«Ми також виявили спроби отримати доступ до ваших приватних даних у Signal», — стверджувало повідомлення.
«Щоб запобігти цьому, ви маєте пройти процедуру верифікації, ввівши код підтвердження у чат-бот служби безпеки Signal. НІКОМУ НЕ ПОВІДОМЛЯЙТЕ ЦЕЙ КОД, НАВІТЬ СПІВРОБІТНИКАМ SIGNAL».
Очевидно, О’Кервалл, який очолює лабораторію безпеки Amnesty International, одразу зрозумів, що це «невдала» спроба зламати його акаунт Signal. Натомість він вирішив скористатися моментом і зануритися в несподіване розслідування.
Дослідник розповів TechCrunch, що до цього, за його словами, він «ніколи свідомо» не ставав ціллю одно-клікових кібератак або фішингових спроб на кшталт цієї.
«Отримати атаку прямо у вхідні, мати шанс перевернути ситуацію та краще зрозуміти кампанію було занадто спокусливо, щоб від цього відмовитися», — сказав він.
Як виявилося, спроба атаки на О’Кервалла, ймовірно, була частиною ширшої кампанії, спрямованої проти великої групи користувачів Signal. Стратегія хакерів полягала в тому, щоб видавати себе за представників Signal, попереджати про фіктивні загрози безпеці й намагатися обманом змусити жертв надати їм доступ до акаунту, прив’язавши його до пристрою, який контролюють зловмисники.
Ці техніки повністю збігаються з методами, описаними у попередженнях, які раніше вже публікували Агентство з кібербезпеки та безпеки інфраструктури США (CISA), Національний центр кібербезпеки Великої Британії та нідерландська розвідка. Усі вони поклали відповідальність за такі кампанії на російських державних шпигунів. Команда Signal також попереджала про фішингові атаки проти своїх користувачів. Німецький журнал Der Spiegel повідомляв, що російським хакерам вдалося зламати декількох людей у Німеччині, включно з високопосадовими політиками.
У серії онлайн-публікацій О’Кервалл розповів, що йому вдалося з’ясувати: він був лише одним із понад 13 500 потенційних об’єктів атаки. Він відмовився детально розкривати методи свого розслідування, щоб не «розкрити карти» хакерам, але поділився деякими результатами.
Спершу О’Кервалл з’ясував, що серед інших цілей були журналісти, з якими він працював, а також його колега. На цьому етапі він уже припустив, що йдеться про опортуністичну атаку, коли хакери, зламавши одних жертв, використовують отримані контакти, щоб ідентифікувати нових потенційних цілей.
О’Кервалл назвав це «гіпотезою сніжної кулі» і сказав, що впевнений: він став ціллю саме через те, що, ймовірно, перебував у груповому чаті з кимось, кого вже зламали. Це дало хакерам можливість отримати його контактні дані.
Дослідник зазначив, що йому вдалося ідентифікувати систему, яку використовували зловмисники. Вона має назву ApocalypseZ і автоматизує атаку, дозволяючи хакерам одночасно націлюватися на велику кількість людей із мінімальним людським втручанням.
Він також виявив, що код і інтерфейс оператора виконано російською мовою, а чати жертв перекладалися на російську. Це узгоджується з гіпотезою, що за кампанією стоїть та сама російська державна хакерська група, яку вже пов’язували з подібними атаками.
За словами О’Кервалла, він продовжує стежити за кампанією і досі бачить активність хакерів. Це означає, що реальна кількість жертв і цілей напевно значно вища, ніж ті понад 13,5 тисячі, які він зафіксував на початку року.
Він сумнівається, що хакери спробують атакувати його знову, і припускає, що вони вже пошкодували, що взялися за нього взагалі. «Я з радістю прийму майбутні повідомлення, особливо якщо в них будуть zero-day-уразливості, якими вони хотіли б поділитися», — сказав він, маючи на увазі невідомі виробнику вразливості, які часто використовуються в атаках, що він досліджує.