Руски хакери използват функцията „Свързани устройства“ на Signal, за да шпионират криптирани разговори

Експертите по киберсигурност вдигат тревога, след като разкриха скрита хакерска кампания от спонсорирани от руската държава хакери, които отвличат акаунти в Signal Messenger, за да подслушват частни, криптирани разговори в реално време.

В наскоро публикувано разследване изследователи по сигурността от Mandiant, подразделение на Google, предупреждават, че множество руски групи за усъвършенствана постоянна заплаха (APT) са разработили мощен метод за компрометиране на функцията за „свързани устройства“ на Signal – ключова възможност, която позволява на потребителите да синхронизират своето защитено приложение за съобщения на множество телефони, таблети или компютри.

Това удобство обаче се превръща в опасно оръжие. Използвайки свързани устройства, хакерите могат невидимо да проникнат в акаунтите на жертвите и да наблюдават техните криптирани съобщения, без да нарушават криптирането от край до край на Signal. След като бъде получен достъп, всяко съобщение се копира директно на нападателите - без целта изобщо да разбере.

Как работи атаката: фишинг на QR код и отвличане на устройства

Методът на хакерите разчита на измама. Жертвите са подлъгани да сканират злонамерени QR кодове, които изглеждат като законни групови покани на Signal или инструкции за сдвояване на устройства. Веднъж сканирано, устройството на нападателя се добавя тайно към акаунта на жертвата в Signal като „свързано устройство“.

От този момент нататък всички съобщения - както изпратени, така и получени - се отразяват в реално време към системата на нападателя. Това заобикаля стабилното криптиране на Signal, тъй като нападателите вече са оторизирани участници, не нарушават криптирането, но тайно се присъединяват към разговора.

Докладът на Mandiant подчертава, че:

• Руски APT групи, свързани с Кремъл, са забелязани да използват този метод при фишинг атаки, насочени към военен персонал, политици, журналисти и активисти – лица, които обикновено разчитат на Signal за сигурни комуникации.
• Тези фишинг страници често имитират официалния интерфейс на Signal или се представят за надеждни приложения като инструмента за насочване на артилерията на украинската армия Kropyva.
• В сценарии на бойното поле руските сили са били хванати да използват заловени устройства, за да свържат акаунти в Signal обратно към техните сървъри за събиране на разузнавателна информация.

Невидим достъп: Защо този експлойт е толкова опасен

Един от най-тревожните аспекти на тази атака е колко тихо работи. Потребителите на Signal обикновено не получават забележими предупреждения, когато ново устройство е свързано с акаунта им. Това позволява на хакерите да поддържат дългосрочно наблюдение без откриване.

Mandiant описва техниката като „форма на начален достъп с нисък подпис“, което означава, че оставя малко следи след себе си. Без активно да проверяват настройките си за „Свързани устройства“, жертвите може да не знаят в продължение на месеци или дори повече, че личните им разговори се излъчват на враждебни участници.

По-широка цел: WhatsApp и Telegram също са изложени на риск

Докато Signal е настоящият фокус, Mandiant подчертава, че този тип атака на свързани устройства не е уникална за Signal. Руските хакери прилагат подобни тактики срещу други широко използвани приложения за съобщения, включително WhatsApp и Telegram.

Всички тези приложения позволяват синхронизиране на множество устройства и процесът често включва QR кодове за удобство, което ги прави готови за злоупотреба чрез фишинг.

Шпионаж в реалния свят: Военни и политически цели

Основният фокус на нападателите изглежда е събирането на разузнавателна информация от високопоставени лица и групи, включително:

• Украински военнослужещи
• европейски политици
• Разследващи журналисти
• Правозащитници

Една особено сложна операция видя прословутата руска хакерска група Sandworm да използва тази техника на бойното поле. След като заловиха телефоните на вражеските войници, те свързаха устройствата с тяхната инфраструктура, позволявайки им да шпионират военни комуникации в реално време.

Признаци, че може да бъдете компрометирани

Тъй като този метод на атака е проектиран да бъде безшумен, самопроверката е от решаващо значение. Ето някои стъпки за откриване и предотвратяване на неоторизиран достъп:

1. Преглеждайте редовно свързаните устройства: Отворете вашето приложение Signal, отидете на Настройки → Свързани устройства и внимателно прегледайте списъка. Ако видите непознато устройство, незабавно прекъснете връзката му.

Какво трябва да направят потребителите на Signal сега

Докладът на Mandiant е отрезвяващо напомняне, че никое приложение не е имунизирано срещу експлоатация – особено когато се сблъскате с актьори от национална държава с огромни ресурси. Криптирането от край до край на Signal остава стабилно, но тази атака заобикаля криптирането, като използва човешкото поведение и удобството на приложението за синхронизиране на устройството.

Ако сте в чувствителна професия или живеете в регион с активни заплахи за наблюдение, проверката на вашите настройки за сигурност на Signal трябва да стане редовен навик.

Експертите по сигурността подчертават, че бдителността е ключова:

• Потребителите с висок риск (военен персонал, журналисти, активисти) трябва да проверяват свързаните устройства всяка седмица.
• Избягвайте да сканирате QR кодове, освен ако не сте абсолютно сигурни в техния източник.
• Докладвайте за подозрителни съобщения или опити за фишинг на ИТ екипа на вашата организация или доставчика на киберсигурност.

Нова ера на тихо наблюдение

Използването на функцията за „свързани устройства“ на Signal бележи смразяваща еволюция в поддържания от държавата кибершпионаж. За разлика от злонамерения софтуер, който оставя следи или нарушава системите, този метод работи тихо, сливайки се във фонов режим, докато насочва чувствителни разговори към руските разузнавателни агенции.