Els pirates informàtics russos exploten la funció "Dispositius enllaçats" de Signal per espiar converses xifrades

El Mura el Seguretat informàtica

Traduir a:

Els experts en ciberseguretat estan aixecant les alarmes després de descobrir una campanya de pirateria furtiva per part d'atacants patrocinats per l'estat rus que segresten els comptes de Signal Messenger per escoltar converses privades i encriptades en temps real.

En una investigació recent publicada, investigadors de seguretat de Mandiant, una divisió de Google, adverteixen que diversos grups russos d'amenaça persistent avançada (APT) han desenvolupat un mètode potent per comprometre la funció de "dispositius enllaçats" de Signal, una capacitat clau que permet als usuaris sincronitzar la seva aplicació de missatgeria segura a diversos telèfons, tauletes o ordinadors.

Tanmateix, aquesta comoditat s'està convertint en una arma perillosa. Mitjançant l'explotació dels dispositius enllaçats, els pirates informàtics poden accedir de manera invisible als comptes de les víctimes i controlar els seus missatges xifrats sense trencar el xifratge d'extrem a extrem de Signal. Un cop obtingut l'accés, cada missatge es copia directament als atacants, sense que l'objectiu ho sàpiga mai.

Taula de continguts

Com funciona l'atac: pesca de codi QR i segrest de dispositius

El mètode dels pirates informàtics es basa en l'engany. Les víctimes són enganyades perquè escanegen codis QR maliciosos que semblen invitacions legítimes de grup Signal o instruccions d'aparellament de dispositius. Un cop escanejat, el dispositiu dels atacants s'afegeix en secret al compte Signal de la víctima com a "dispositiu enllaçat".

A partir d'aquest moment, tots els missatges, tant enviats com rebuts, es reflecteixen en temps real al sistema de l'atacant. Això passa per alt el xifratge robust de Signal perquè els atacants són ara un participant autoritzat, no trenquen el xifratge sinó que s'uneixen a la conversa sigil·losament.

L'informe de Mandiant destaca que:

S'ha vist que grups russos d'APT alineats amb el Kremlin utilitzen aquest mètode en atacs de pesca dirigits a personal militar, polítics, periodistes i activistes, individus que habitualment confien en Signal per a comunicacions segures.
Aquestes pàgines de pesca sovint imiten la interfície oficial de Signal o es posen com a aplicacions de confiança com l'eina de guia d'artilleria de l'exèrcit ucraïnès, Kropyva.
En els escenaris del camp de batalla, les forces russes han estat capturades utilitzant dispositius capturats per enllaçar els comptes de Signal als seus servidors per a la recollida d'intel·ligència.

Accés invisible: per què aquest exploit és tan perillós

Un dels aspectes més preocupants d'aquest atac és el silenci que funciona. Els usuaris de senyal normalment no reben cap alerta notable quan s'enllaça un dispositiu nou al seu compte. Això permet als pirates informàtics mantenir una vigilància a llarg termini sense detecció.

Mandiant descriu la tècnica com una "forma d'accés inicial de baixa signatura", el que significa que deixa pocs rastres. Sense comprovar activament la seva configuració de "Dispositius enllaçats", les víctimes poden no saber durant mesos, o fins i tot més, que les seves converses privades s'estan transmetent a actors hostils.

Objectiu més ampli: WhatsApp i Telegram també estan en risc

Si bé Signal és el focus actual, Mandiant subratlla que aquest tipus d'atac a dispositius enllaçats no és exclusiu de Signal. Els pirates informàtics russos estan desplegant tàctiques similars contra altres aplicacions de missatgeria àmpliament utilitzades, com WhatsApp i Telegram.

Totes aquestes aplicacions permeten la sincronització de diversos dispositius, i el procés sovint inclou codis QR per comoditat, fent-les madures per a l'abús mitjançant la pesca.

Espionatge del món real: objectius militars i polítics

L'objectiu principal dels atacants sembla ser la recollida d'intel·ligència d'individus i grups d'alt valor, com ara:

Personal militar ucraïnès
polítics europeus
Periodistes d'investigació
Activistes pels drets humans

Una operació especialment sofisticada va veure que el famós grup de pirates Sandworm de Rússia aprofitava aquesta tècnica al camp de batalla. Després de capturar els telèfons dels soldats enemics, van enllaçar els dispositius a la seva infraestructura, cosa que els va permetre espiar les comunicacions militars en temps real.

Signes que podríeu estar compromès

Com que aquest mètode d'atac està dissenyat per ser silenciós, l'autocontrol és crucial. Aquests són alguns passos per detectar i prevenir l'accés no autoritzat:

Reviseu els dispositius enllaçats amb regularitat: obriu l'aplicació Signal, aneu a Configuració → Dispositius enllaçats i inspeccioneu acuradament la llista. Si veieu un dispositiu desconegut, desenllaçeu-lo immediatament.

Activa el bloqueig de pantalla: fes servir una contrasenya llarga i complexa al teu telèfon. Això fa que sigui més difícil que algú enllaçi un dispositiu si obté accés físic breument.

Manteniu-vos actualitzat: instal·leu sempre la darrera versió de Signal i altres aplicacions de missatgeria. Les actualitzacions sovint inclouen millores de seguretat que poden reduir les superfícies d'atac.

Aneu amb compte amb els codis QR: tracteu els codis QR inesperats amb sospita, encara que sembli que provenen d'una font de confiança. Comproveu les invitacions de grup directament amb el remitent abans d'escanejar.

Utilitzeu l'autenticació multifactorial (MFA): tot i que Signal en si no admet MFA per enllaçar dispositius, l'habilitació de l'autenticació de dos factors a les còpies de seguretat i als comptes al núvol del vostre telèfon intel·ligent pot proporcionar una capa addicional de defensa.

Què haurien de fer els usuaris de senyals ara

L'informe de Mandiant és un recordatori aclaparador que cap aplicació és immune a l'explotació, sobretot quan s'enfronta a actors de l'estat-nació amb grans recursos. El xifratge d'extrem a extrem de Signal continua sent robust, però aquest atac evita el xifratge aprofitant el comportament humà i la comoditat de sincronització de dispositius de l'aplicació.

Si exerceixes una professió sensible o vius en una regió amb amenaces de vigilància activa, auditar la configuració de seguretat de Signal hauria de convertir-se en un hàbit habitual.

Els experts en seguretat destaquen que la vigilància és clau:

Els usuaris d'alt risc (personal militar, periodistes, activistes) haurien de comprovar setmanalment els dispositius enllaçats.
Eviteu escanejar codis QR tret que estigui absolutament segur de la seva font.
Informeu de missatges sospitosos o intents de pesca a l'equip de TI de la vostra organització o al proveïdor de ciberseguretat.

Una nova era de vigilància silenciosa

L'explotació de la funció de "dispositius enllaçats" de Signal marca una evolució esgarrifosa en el ciberespionatge recolzat per l'estat. A diferència del programari maliciós que deixa rastres o interromp els sistemes, aquest mètode funciona de manera silenciosa, barrejant-se en segon pla mentre canalitza converses sensibles a les agències d'intel·ligència russes.

El processador de pagaments d'EnigmaSoft, Digital River GmbH, la declaració de fallida no afecta la protecció antimalware dels clients de SpyHunter

Cerca

Canvia de regió