Ruští hackeři využívají funkci „Propojená zařízení“ Signal ke špehování šifrovaných konverzací

Experti na kybernetickou bezpečnost vyvolávají poplach poté, co odhalili tajnou hackerskou kampaň ruských státem sponzorovaných útočníků, kteří ukradli účty Signal Messenger, aby mohli v reálném čase odposlouchávat soukromé, šifrované konverzace.

V nově zveřejněném vyšetřování bezpečnostní výzkumníci z Mandiant, divize společnosti Google, varují, že několik ruských skupin Advanced Persistent Threat (APT) vyvinulo účinnou metodu, jak ohrozit funkci „propojených zařízení“ Signal – klíčovou funkci, která uživatelům umožňuje synchronizovat jejich aplikaci pro bezpečné zasílání zpráv mezi více telefony, tablety nebo počítači.

Z této vymoženosti se však stává nebezpečná zbraň. Zneužitím propojených zařízení mohou hackeři neviditelně proniknout do účtů obětí a sledovat jejich zašifrované zprávy, aniž by prolomili end-to-end šifrování Signalu. Po získání přístupu je každá zpráva zkopírována přímo útočníkům – aniž by o tom cíl věděl.

Jak útok funguje: Phishing s QR kódem a únos zařízení

Metoda hackerů se opírá o podvod. Oběti jsou oklamány, aby naskenovaly škodlivé QR kódy, které vypadají jako legitimní pozvánky do skupiny Signal nebo pokyny pro spárování zařízení. Po naskenování je zařízení útočníků tajně přidáno k účtu Signal oběti jako „propojené zařízení“.

Od tohoto okamžiku jsou všechny zprávy – odeslané i přijaté – zrcadleny v reálném čase do systému útočníka. To obchází robustní šifrování Signal, protože útočníci jsou nyní autorizovanými účastníky, kteří šifrování neprolomí, ale tajně se připojí ke konverzaci.

Mandiantova zpráva zdůrazňuje, že:

• Ruské skupiny APT napojené na Kreml byly viděny, jak tuto metodu používají při phishingových útocích zaměřených na vojenský personál, politiky, novináře a aktivisty – jednotlivce, kteří běžně spoléhají na Signal pro zabezpečenou komunikaci.
• Tyto phishingové stránky často napodobují oficiální rozhraní Signalu nebo se vydávají za důvěryhodné aplikace, jako je dělostřelecký naváděcí nástroj ukrajinské armády Kropyva.
• Ve scénářích na bojišti byly ruské síly přistiženy pomocí zajatých zařízení k propojení účtů Signal zpět se svými servery za účelem shromažďování zpravodajských informací.

Invisible Access: Proč je tento Exploit tak nebezpečný

Jedním z nejvíce znepokojivých aspektů tohoto útoku je, jak tiše funguje. Uživatelé signálu obvykle nedostávají žádná znatelná upozornění, když je k jejich účtu připojeno nové zařízení. To umožňuje hackerům udržovat dlouhodobý dohled bez detekce.

Mandiant popisuje techniku jako „formu počátečního přístupu s nízkým podpisem“, což znamená, že za sebou zanechává jen málo stop. Bez aktivní kontroly jejich nastavení „Propojená zařízení“ si oběti mohou měsíce – nebo i déle – neuvědomovat, že jejich soukromé konverzace jsou vysílány nepřátelským aktérům.

Širší cíl: WhatsApp a telegram v ohrožení

Zatímco Signal je v současné době středem zájmu, Mandiant zdůrazňuje, že tento typ útoku na připojené zařízení není pro Signal jedinečný. Ruští hackeři nasazují podobnou taktiku proti dalším široce používaným aplikacím pro zasílání zpráv, včetně WhatsApp a Telegram.

Všechny tyto aplikace umožňují synchronizaci mezi více zařízeními a tento proces často pro pohodlí zahrnuje QR kódy, díky nimž jsou zralé na zneužití prostřednictvím phishingu.

Špionáž ve skutečném světě: Vojenské a politické cíle

Zdá se, že hlavním cílem útočníků je shromažďování zpravodajských informací od vysoce hodnotných jednotlivců a skupin, včetně:

• ukrajinský vojenský personál
• evropští politici
• Investigativní novináři
• Lidskoprávní aktivisté

Jedna obzvláště sofistikovaná operace viděla notoricky známou ruskou hackerskou skupinu Sandworm, která tuto techniku využila na bitevním poli. Poté, co zachytili telefony nepřátelských vojáků, propojili zařízení s jejich infrastrukturou, což jim umožnilo špehovat vojenskou komunikaci v reálném čase.

Známky, že byste mohli být ohroženi

Protože je tato metoda útoku navržena tak, aby byla tichá, je zásadní samokontrola. Zde je několik kroků, jak zjistit a zabránit neoprávněnému přístupu:

1. Pravidelně kontrolujte připojená zařízení: Otevřete aplikaci Signal, přejděte do Nastavení → Propojená zařízení a pečlivě si prohlédněte seznam. Pokud uvidíte neznámé zařízení, okamžitě jej odpojte.

Co by nyní měli uživatelé signálu dělat

Mandiantova zpráva je střízlivou připomínkou, že žádná aplikace není imunní vůči vykořisťování – zvláště když čelí národním státním aktérům s obrovskými zdroji. End-to-end šifrování signálu zůstává robustní, ale tento útok obchází šifrování tím, že využívá lidské chování a pohodlí aplikace při synchronizaci zařízení.

Pokud jste v citlivé profesi nebo žijete v oblasti s aktivními hrozbami sledování, auditování nastavení zabezpečení Signal by se mělo stát pravidelným zvykem.

Bezpečnostní experti zdůrazňují, že klíčová je ostražitost:

• Vysoce rizikoví uživatelé (vojenský personál, novináři, aktivisté) by měli propojená zařízení kontrolovat každý týden.
• Vyhněte se skenování QR kódů, pokud si nejste zcela jisti jejich zdrojem.
• Nahlaste podezřelé zprávy nebo pokusy o phishing IT týmu vaší organizace nebo poskytovateli kybernetické bezpečnosti.

Nová éra tichého dohledu

Využití funkce „propojených zařízení“ společnosti Signal znamená mrazivý vývoj ve státem podporované kyberšpionáži. Na rozdíl od malwaru, který zanechává stopy nebo narušuje systémy, tato metoda funguje tiše, mísí se s pozadím a vede citlivé konverzace k ruským zpravodajským agenturám.