Wspierane przez Rosję grupy hakerskie opracowały techniki kompromisowe zaszyfrowane usługi przesyłania wiadomości, w tym Signal, WhatsApp i Telegram, stawiając dziennikarzy, polityków i aktywistów zainteresowanych rosyjskich usług wywiadowczych na potencjalne ryzyko.
Grupa Google Threat Intelligence ujawniła dziś, że hakerzy wspierani przez Rosję przyspieszyli ataki na konta komunikatora sygnałowego, aby uzyskać dostęp do wrażliwej komunikacji rządowej i wojskowej związanej z wojną na Ukrainie.
Analitycy przewidują, że jest to tylko kwestia czasu, zanim Rosja rozpocznie wdrażanie technik hakowania przeciwko niemilitarnym użytkownikom sygnałów i użytkownikom innych zaszyfrowanych usług przesyłania wiadomości, w tym WhatsApp i Telegram.
Dan Black, menedżer analizy Cyber Espionage w dziale Mandiant Cloud, powiedział, że byłby „absolutnie zszokowany”, gdyby nie widział ataków na sygnał wykraczający poza wojnę na Ukrainie i na inne zaszyfrowane platformy przesyłania wiadomości.
Powiedział, że Rosja jest często „pierwszym wnioskodawcą” w cyberatakach i że będzie to tylko kwestia czasu przed innymi krajami, takimi jak Iran, Chiny i Korea Północna, używali exploitów do atakowania zaszyfrowanych przesłania przedmiotów zainteresowań wywiadowczych .
Ostrzeżenie wynika z ujawnienia, że rosyjska wywiad stworzyła STRONY STRONY DAVOS World Economic Forum w styczniu 2025 r., Aby potajemnie próbować uzyskać dostęp do kont WhatsApp używanych przez ukraińskich urzędników rządowych, dyplomatów i byłego dziennikarza śledczego w Bellingcat.
Urządzenia połączone
Wspierani do Rosji hakerzy próbują zagrozić funkcji „połączonych urządzeń” sygnału, która pozwala użytkownikom sygnałów połączyć swoje konto przesyłania wiadomości z wieloma urządzeniami, w tym telefonami i laptopami, przy użyciu kodu szybkiej odpowiedzi (QR).
Analitycy zagrożeń Google donoszą, że podmioty powiązani z Rosją opracowali złośliwe kody QR, które po zeskanowaniu dadzą aktorowi zagrożeniom dostęp do wiadomości ofiary bez konieczności narażenia telefonu lub komputera ofiary.
W jednym przypadku, według Blacka, zagrożone konto sygnałowe doprowadziło Rosję do rozpoczęcia strajku artyleryjskiego przeciwko ukraińskiej brygadzie armii, co spowodowało szereg ofiar.
Rosja zaobserwowano grupy, które ukrywają złośliwe kody jako zaproszenia do dyskusji grupy sygnałowej lub jako uzasadnione instrukcje parowania urządzeń ze strony internetowej Signal.
W niektórych ukierunkowanych atakach phishingowych włóczni hakerzy powiązani z Rosji osadzili również złośliwe kody QR na stronach internetowych phishingowych zaprojektowanych w celu naśladowania specjalistycznych aplikacji używanych przez ofiary ataku.
Kompromitowany przez Rosję sygnał znaleziony na telefonach Battlefield
Rosja powiązana Robak piaskowy Grupa, znana również jako APT44, która jest powiązana z sztabem generalnym sił zbrojnych Federacji Rosyjskiej, współpracowała z rosyjskimi siłami wojskowymi na Ukrainie w celu wykorzystywania relacji sygnałowych na telefonach i komputerach przechwyconych na polu bitwy.
Badacze Mandiant Google zidentyfikowali rosyjską stronę internetową języka, udzielając instrukcji rosyjskim mówcom, jak sparować konta sygnałowe lub telegramowe z infrastrukturą kontrolowaną przez APT44.
„Ekstrapolacja polega na tym, że jest to dostarczane siłom rosyjskim, aby móc rozmieścić schwytane urządzenia na polu bitwy i odesłać komunikację do GRU do wykorzystania”, powiedział Black Computer Weekly.
Uważa się, że Rosja przekazała przechwyconą komunikację sygnałową z powrotem do „jeziora danych” w celu analizy treści dużej liczby komunikacji sygnałowej dla wywiadu Battlefield.
Kompromis prawdopodobnie nie wykryje
Ataki, które są oparte na zdolności łączenia urządzenia sygnału, są trudne do wykrycia, a gdy odnoszą sukcesy, istnieje wysokie ryzyko, że zagrożone konta sygnałowe mogą pozostać niezauważone przez długi czas.
Google zidentyfikował inny klaster Wspierani przez Rosję napastnikówznany jako UNC5792który wykorzystał zmodyfikowane wersje legalnej grupy sygnałowej, które zapraszają strony, które łączą konto sygnału ofiary z urządzeniem kontrolowanym przez grupę hakerską, umożliwiając grupie odczyt i dostęp do komunikatów sygnałowych docelowego.
Inne podmioty związane z Rosją opracowały sygnał „zestaw phishingowy” zaprojektowany do naśladowania komponentów Kropyva Oprogramowanie artyleryjskie używane przez ukraińskie wojsko. Grupa hakerska, znana jako UNC4221, wcześniej używała złośliwych stron internetowych zaprojektowanych do naśladowania uzasadnionych alertów bezpieczeństwa od Signal.
Grupa wykorzystała również lekki ładunek JavaScript, znany jako Pinpoint, w celu zebrania podstawowych informacji o użytkownikach i danych geolokalizacji z przeglądarek internetowych.
Google ostrzegł, że kombinacja dostępu do bezpiecznych wiadomości i danych lokalizacji ofiar prawdopodobnie zostanie wykorzystana do ustalenia ukierunkowanych operacji nadzoru lub do wsparcia konwencjonalnych operacji wojskowych na Ukrainie.
Sygnałowe bazy danych zaatakowane na Androida
Google ostrzegł również, że zaobserwowano wielu aktorów zagrożeń przy użyciu exploitów do kradzieży plików bazy danych sygnałów z naruszenia urządzeń z Androidem i Windows.
W 2023 r. Narodowe Cyber Security Center w Wielkiej Brytanii i Służba Bezpieczeństwa Ukrainy ostrzegła, że grupa hakerów z Pandworm wdrożyła złośliwe oprogramowanie Androida, znane jako znane jako Niesławny dłutoaby wyszukać aplikacje do przesyłania wiadomości, w tym sygnał, na urządzeniach z Androidem.
Złośliwe oprogramowanie jest w stanie skanować zainfekowane urządzenia w poszukiwaniu wiadomości WhatsApp, wiadomości niezgody, informacji o geolokalizacji i innych interesujących danych wywiadu rosyjskiego. Jest w stanie zidentyfikować sygnał i inne wiadomości oraz „pakować je” w niezaszyfrowanej formie do exfiltracji.
APT44 obsługuje lekki skrypt wsadowy systemu Windows, znany jako Wavesign, do okresowego zapytań komunikatów sygnałowych z bazy danych sygnału ofiary i wyeliminowania najnowszych komunikatów.
Rosyjski aktor zagrożenia Turlaktóry został przypisany przez USA i Wielką Brytanię rosyjskiej federalnej służbie bezpieczeństwa, wykorzystał lekki skrypt PowerShell do wysadzania komunikatów stacjonarnych sygnałowych.
A na Białorusi, sojusznik Rosji, grupa hakerska wyznaczona jako UNC1151 używał narzędzia wiersza poleceń, znanego jako Robocopy, do ustalenia zawartości katalogów plików używanych przez sygnał stacjonarny do przechowywania wiadomości i załączników do późniejszej exfiltracji.
Zaszyfrowane usługi przesyłania wiadomości w zagrożeniu
Google ostrzegł, że próby wielu podmiotów zagrożonych ukierunkowane na sygnał służą jako ostrzeżenie dla rosnącego zagrożenia dla zabezpieczenia usług przesyłania wiadomości, a ataki z pewnością nasilają się w najbliższej przyszłości.
„Wydaje się, że istnieje wyraźne i rosnące zapotrzebowanie na ofensywne możliwości cybernetyczne, które można wykorzystać do monitorowania wrażliwej komunikacji osób, które polegają na bezpiecznych aplikacjach do przesyłania wiadomości w celu ochrony ich aktywności online”, powiedział.
Ataki wykorzystują „legalną funkcję”
Użytkownicy zaszyfrowanej komunikacji są nie tylko zagrożeni na ataki phishingowe i złośliwe oprogramowanie, ale także z możliwości podmiotów zagrożenia w celu zapewnienia dostępu do urządzenia celu – na przykład poprzez zerwanie hasła.
Black powiedział, że to podstępne, że rosyjscy napastnicy używają „uzasadnionej funkcji” w sygnalizowaniu, aby uzyskać dostęp do poufnej komunikacji, zamiast zaatakować telefony ofiar lub złamanie szyfrowania aplikacji.
„Wielu odbiorców, którzy używają sygnału do wrażliwej komunikacji, musi pomyśleć o ryzyku sparowania urządzenia z drugim urządzeniem” – powiedział.
Ukierunkowane sygnał i telegram
Grupy zrównoważone Rosji ukierunkowały również inne powszechnie używane platformy przesyłania wiadomości, w tym sygnał i telegram.
Rosyjska grupa hakerska powiązana z rosyjską służbą wywiadowczą FSB, znaną różnie jako Coldriver, Seaborgium, Callisto i Star Blizzardprzesunął taktykę pod koniec 2024 roku, aby rozpocząć ataki inżynierii społecznej na osoby za pomocą zaszyfrowanych wiadomości WhatsApp.
Grupa Trzeba MPSosoby zaangażowane w rządy lub dyplomacja, polityka badawcza i obronna oraz organizacje lub osoby wspierające Ukrainę.
Jak ujawniono Computer Weekly w 2022 r Były szef MI6obok innych członków tajnej prawicowej sieci poświęconej kampanii na rzecz ekstremalnego twardego Brexitu.
Scottish National Partia MP Stewart McDonald była kolejną ofiarą grupy. Lewy niezależny dziennikarz Paul Mason, który często krytykował wojnę Putina z Ukrainą, był również atakowany przez grupę, a jego e-maile wyciekły do Greyzone, prorosyjskiej publikacji w USA.
Naukowcy z uniwersytetów w Bristolu, Cambridge i Edynburgu, w tym Późny Ross Andersonprofesor inżynierii bezpieczeństwa, po raz pierwszy opublikowany w 2023 r. Ostrzeżenie, że wersje komputerów stacjonarnych i WhatsApp mogą zostać naruszone, jeśli są dostępne przez strażnika granicznego lub intymnego partnera, umożliwiając im czytanie wszystkich przyszłych wiadomości.
Sygnalizuje bezpieczeństwo
Sygnał podjął kroki w celu poprawy bezpieczeństwa funkcji parowania w celu ostrzegania użytkowników o możliwych próbach uzyskania dostępu do swoich konta za pomocą taktyk inżynierii społecznej, zgodnie z ustaleniami Google.
Josh Lund, starszy technolog z Signal, powiedział, że organizacja wprowadziła szereg aktualizacji w celu złagodzenia potencjalnych ataków inżynierii społecznej i phishingowej, zanim zbliżył się do niego Google.
„Google Threat Intelligence Group dostarczyła nam dodatkowych informacji i wprowadziliśmy dalsze ulepszenia na podstawie ich informacji zwrotnych. Jesteśmy wdzięczni za ich pomoc i ścisłą współpracę ”, powiedział Computer co tydzień.
Od tego czasu sygnał dokonał dalszych ulepszeń, w tym remontu interfejsu w celu zapewnienia dodatkowych powiadomień, gdy ktoś połączy nowe urządzenie.
Wprowadził również dodatkowe etapy uwierzytelniania, aby uniemożliwić każdemu innym niż właściciel urządzenia podstawowego dodawania nowego urządzenia połączonego. Gdy każde nowe urządzenie jest powiązane z konto sygnałowym, urządzenie podstawowe automatycznie odbiera powiadomienie, umożliwiając użytkownikom szybkie przeglądanie i usuwanie nieznanych lub niechcianych połączonych urządzeń.
Dan Black doradził ludziom aplikację Signal, aby dokładnie przemyśleli przemyślenia przed przyjęciem linków do czatów grupowych.
„Jeśli jest to kontakt, wiesz, po prostu utwórz grupę bezpośrednio. Nie używaj zewnętrznych linków do robienia rzeczy, które możesz zrobić bezpośrednio za pomocą funkcji aplikacji do przesyłania wiadomości ” – powiedział.
Przeczytaj więcej o rosyjskich atakach na sygnał Post na blogu Dana Blacka.