Russiske hackere udnytter Signals 'Linked Devices'-funktion til at spionere på krypterede samtaler

Cybersikkerhedseksperter slår alarm efter at have afsløret en snigende hacking-kampagne fra russisk statssponsorerede angribere, der kaprer Signal Messenger-konti for at aflytte private, krypterede samtaler i realtid.

I en nyligt udgivet undersøgelse advarer sikkerhedsforskere fra Mandiant, en afdeling af Google, om, at flere russiske Advanced Persistent Threat (APT)-grupper har udviklet en kraftfuld metode til at kompromittere Signals "linked devices"-funktion - en nøglefunktion, der giver brugerne mulighed for at synkronisere deres sikre beskedapp på tværs af flere telefoner, tablets eller computere.

Denne bekvemmelighed bliver dog forvandlet til et farligt våben. Ved at udnytte tilknyttede enheder kan hackere usynligt benytte sig af ofres konti og overvåge deres krypterede beskeder uden at bryde Signals ende-til-ende-kryptering. Når først adgang er opnået, kopieres hver besked direkte til angriberne – uden at målet nogensinde ved det.

Sådan fungerer angrebet: QR-kode-phishing og enhedskapring

Hackernes metode er afhængig af bedrag. Ofre bliver narret til at scanne ondsindede QR-koder, der ligner legitime signalgruppeinvitationer eller instruktioner om enhedsparring. Når angriberens enhed er blevet scannet, føjes den hemmeligt til ofrets signalkonto som en "tilknyttet enhed".

Fra det øjeblik af spejles alle beskeder – både sendt og modtaget – i realtid til hackerens system. Dette omgår Signals robuste kryptering, fordi angriberne nu er en autoriseret deltager, der ikke bryder krypteringen, men sniger sig med i samtalen.

Mandiants rapport fremhæver, at:

• Russiske APT-grupper, der er på linje med Kreml, er blevet set bruge denne metode i phishing-angreb rettet mod militært personel, politikere, journalister og aktivister – enkeltpersoner, der almindeligvis er afhængige af Signal for sikker kommunikation.
• Disse phishing-sider efterligner ofte Signals officielle grænseflade eller poserer som betroede apps som det ukrainske militærs artillerivejledningsværktøj, Kropyva.
• I scenarier på slagmarken er russiske styrker blevet fanget ved at bruge fangede enheder til at forbinde signalkonti tilbage til deres servere til efterretningsindsamling.

Usynlig adgang: Hvorfor denne udnyttelse er så farlig

Et af de mest bekymrende aspekter ved dette angreb er, hvor stille det fungerer. Signalbrugere modtager typisk ingen mærkbare advarsler, når en ny enhed er knyttet til deres konto. Dette giver hackere mulighed for at opretholde langsigtet overvågning uden opdagelse.

Mandiant beskriver teknikken som en "lavsignaturform for indledende adgang", hvilket betyder, at den efterlader få spor. Uden aktivt at kontrollere deres "Linkede enheder"-indstillinger, kan ofre forblive uvidende i flere måneder – eller endda længere – at deres private samtaler bliver udsendt til fjendtlige aktører.

Bredere mål: WhatsApp og Telegram også i fare

Mens Signal er det aktuelle fokus, understreger Mandiant, at denne type angreb på en linket enhed ikke er unik for Signal. Russiske hackere anvender lignende taktikker mod andre udbredte beskedapps, herunder WhatsApp og Telegram.

Alle disse apps tillader synkronisering af flere enheder, og processen involverer ofte QR-koder for nemheds skyld - hvilket gør dem modne til misbrug gennem phishing.

Real-World Spionage: Militære og politiske mål

Angribernes primære fokus ser ud til at være at indsamle efterretninger fra enkeltpersoner og grupper af høj værdi, herunder:

• ukrainsk militærpersonel
• europæiske politikere
• Undersøgende journalister
• Menneskerettighedsaktivister

En særlig sofistikeret operation så Ruslands berygtede Sandworm-hackinggruppe udnytte denne teknik på slagmarken. Efter at have fanget fjendtlige soldaters telefoner, koblede de enhederne til deres infrastruktur, hvilket gjorde det muligt for dem at spionere på militær kommunikation i realtid.

Tegn på, at du kan blive kompromitteret

Da denne angrebsmetode er designet til at være tavs, er selvkontrol afgørende. Her er nogle trin til at opdage og forhindre uautoriseret adgang:

1. Gennemgå forbundne enheder regelmæssigt: Åbn din Signal-app, gå til Indstillinger → Tilknyttede enheder , og undersøg omhyggeligt listen. Hvis du ser en ukendt enhed, skal du straks fjerne tilknytningen til den.

Hvad signalbrugere skal gøre nu

Mandiants rapport er en nøgtern påmindelse om, at ingen app er immun over for udnyttelse – især når man står over for nationalstatsaktører med enorme ressourcer. Signals ende-til-ende-kryptering forbliver robust, men dette angreb omgår kryptering ved at udnytte menneskelig adfærd og appens bekvemmelighed for enhedssynkronisering.

Hvis du er i et følsomt erhverv eller bor i en region med aktive overvågningstrusler, bør revision af dine signalsikkerhedsindstillinger blive en almindelig vane.

Sikkerhedseksperter understreger, at årvågenhed er nøglen:

• Højrisikobrugere (militært personale, journalister, aktivister) bør tjekke tilknyttede enheder ugentligt.
• Undgå at scanne QR-koder, medmindre du er helt sikker på deres kilde.
• Rapportér mistænkelige beskeder eller phishing-forsøg til din organisations it-team eller cybersikkerhedsudbyder.

En ny æra med tavs overvågning

Udnyttelsen af Signals "linked devices"-funktion markerer en rystende udvikling inden for statsstøttet cyberspionage. I modsætning til malware, der efterlader spor eller forstyrrer systemer, fungerer denne metode stille og roligt og blander sig i baggrunden, mens den sender følsomme samtaler til russiske efterretningstjenester.