Mitme litsentsi allahindluspakkumine
Arvuti turvalisus Vene häkkerid kasutavad krüpteeritud vestluste...

Vene häkkerid kasutavad krüpteeritud vestluste luuramiseks ära Signaali lingitud seadmete funktsiooni

Aastaks Mura aastal Arvuti turvalisus
Tõlgi:
Eesti

Küberturvalisuse eksperdid tekitavad häireid pärast seda, kui avastasid Venemaa riiklikult toetatud ründajate vargsi häkkimiskampaania, mis kaaperdab Signal Messengeri kontosid, et pealt kuulata reaalajas privaatseid krüptitud vestlusi.

Äsja avaldatud uurimise käigus hoiatavad Google'i osakonna Mandianti turbeteadlased, et mitmed Venemaa täiustatud püsiva ohu (APT) rühmad on välja töötanud võimsa meetodi Signali "lingitud seadmete" funktsiooni ohustamiseks – võtmefunktsiooni, mis võimaldab kasutajatel sünkroonida oma turvalist sõnumsiderakendust mitme telefoni, tahvelarvuti või arvuti vahel.

See mugavus väänatakse aga ohtlikuks relvaks. Lingitud seadmeid ära kasutades saavad häkkerid nähtamatult ohvrite kontosid puudutada ja nende krüptitud sõnumeid jälgida ilma Signali täielikku krüptimist rikkumata. Kui juurdepääs on saavutatud, kopeeritakse iga sõnum otse ründajatele, ilma et sihtmärk seda kunagi teaks.

Kuidas rünnak töötab: QR-koodi andmepüügi ja seadme kaaperdamine

Häkkerite meetod põhineb petmisel. Ohvreid meelitatakse skannima pahatahtlikke QR-koode, mis näevad välja kui seaduslikud signaalirühma kutsed või seadme sidumisjuhised. Pärast skannimist lisatakse ründaja seade salaja ohvri signaalikontole kui "lingitud seade".

Sellest hetkest alates peegelduvad kõik sõnumid – nii saadetud kui ka vastuvõetud – ründaja süsteemis reaalajas. See läheb Signali tugevast krüptimisest mööda, sest ründajad on nüüd volitatud osalejad, kes ei riku krüptimist, vaid liituvad vargsi vestlusega.

Mandianti aruanne rõhutab järgmist:

  • Kremliga joondunud Venemaa APT rühmitusi on nähtud kasutavat seda meetodit andmepüügirünnakutes, mis on suunatud sõjaväelastele, poliitikutele, ajakirjanikele ja aktivistidele – üksikisikutele, kes kasutavad turvaliseks suhtluseks tavaliselt signaali.
  • Need andmepüügilehed jäljendavad sageli Signali ametlikku liidest või kujutavad endast usaldusväärseid rakendusi, nagu Ukraina sõjaväe suurtükiväe juhttööriist Kropyva.
  • Lahinguvälja stsenaariumide korral on Vene väed tabatud hõivatud seadmetega, et linkida signaalikontod tagasi oma serveritega luureandmete kogumiseks.

Nähtamatu juurdepääs: miks see ärakasutamine on nii ohtlik

Selle rünnaku üks murettekitavamaid aspekte on selle vaikne toimimine. Signaali kasutajad ei saa tavaliselt märgatavaid hoiatusi, kui nende kontoga lingitakse uus seade. See võimaldab häkkeritel säilitada pikaajalist jälgimist ilma tuvastamiseta.

Mandiant kirjeldab tehnikat kui "madala signatuuriga esialgse juurdepääsu vormi", mis tähendab, et see jätab endast vähe jälgi. Kui nad ei kontrolli aktiivselt oma "Lingitud seadmete" seadeid, võivad ohvrid jääda kuude või isegi kauemaks teadmatuks, et nende eravestlusi edastatakse vaenulikele näitlejatele.

Laiem sihtmärk: ka WhatsApp ja Telegram on ohus

Kuigi praegu on fookuses Signal, rõhutab Mandiant, et seda tüüpi lingitud seadme rünnak ei ole Signali jaoks ainulaadne. Venemaa häkkerid kasutavad sarnast taktikat ka teiste laialdaselt kasutatavate sõnumsiderakenduste, sealhulgas WhatsAppi ja Telegrami vastu.

Kõik need rakendused võimaldavad mitme seadmega sünkroonimist ja protsess hõlmab sageli mugavuse huvides QR-koode, muutes need küpseks andmepüügi kaudu kuritarvitamiseks.

Reaalse maailma spionaaž: sõjalised ja poliitilised sihtmärgid

Ründajate põhirõhk näib olevat luureandmete kogumisel väärtuslikelt isikutelt ja rühmadelt, sealhulgas:

  • Ukraina sõjaväelased
  • Euroopa poliitikud
  • Uurivad ajakirjanikud
  • Inimõigusaktivistid

Ühes eriti keerukas operatsioonis kasutas Venemaa kurikuulus Sandworm häkkimisrühm seda tehnikat lahinguväljal. Pärast vaenlase sõdurite telefonide hõivamist ühendasid nad seadmed oma infrastruktuuriga, võimaldades neil reaalajas luurata sõjaväe sidet.

Märgid, et võite ohtu sattuda

Kuna see ründemeetod on loodud vaikseks, on enesekontroll ülioluline. Siin on mõned sammud volitamata juurdepääsu tuvastamiseks ja vältimiseks.

  1. Lingitud seadmete korrapärane ülevaatamine: avage oma Signaali rakendus, valige Seaded → Lingitud seadmed ja kontrollige loendit hoolikalt. Kui näete võõrast seadet, tühistage selle linkimine kohe.
  • Luba ekraanilukk: kasutage oma telefonis pikka ja keerulist parooli. See muudab seadme linkimise raskemaks, kui nad saavad korraks füüsilise juurdepääsu.
  • Püsige kursis: installige alati Signali ja muude sõnumsiderakenduste uusim versioon. Värskendused sisaldavad sageli turvatäiustusi, mis võivad vähendada rünnakupinda.
  • Hoiduge QR-koodide eest: suhtuge ootamatutesse QR-koodidesse kahtlustavalt, isegi kui need näivad pärinevat usaldusväärsest allikast. Enne skannimist kinnitage rühmakutsed otse saatjaga.
  • Multi-Factor Authentication (MFA) kasutamine: kuigi Signal ise ei toeta MFA-d seadmete linkimiseks, võib nutitelefoni pilvevarukoopiate ja -kontode kahefaktorilise autentimise lubamine pakkuda täiendavat kaitsekihti.

    • Mida peaksid signaali kasutajad nüüd tegema

    Mandiandi aruanne on kainestav meeldetuletus, et ükski rakendus pole kaitstud ärakasutamise eest – eriti kui vastamisi on tohutute ressurssidega rahvusriikide osalejad. Signaali otspunkt krüptimine jääb jõuliseks, kuid see rünnak läheb krüptimisest mööda, kasutades ära inimeste käitumist ja rakenduse seadmete sünkroonimise mugavust.

    Kui töötate tundlikul erialal või elate aktiivsete jälgimisohtudega piirkonnas, peaks signaali turvaseadete auditeerimine muutuma tavapäraseks harjumuseks.

    Turvaeksperdid rõhutavad, et valvsus on võtmetähtsusega:

    • Kõrge riskiga kasutajad (sõjaväelased, ajakirjanikud, aktivistid) peaksid lingitud seadmeid kord nädalas kontrollima.
    • Vältige QR-koodide skannimist, välja arvatud juhul, kui olete nende allikas täiesti kindel.
    • Teatage oma organisatsiooni IT-meeskonnale või küberturvalisuse pakkujale kahtlastest sõnumitest või andmepüügikatsetest.

    Vaikse jälgimise uus ajastu

    Signaali "seotud seadmete" funktsiooni ärakasutamine tähistab riigi toetatud küberspionaaži jahutavat arengut. Erinevalt pahavarast, mis jätab jälgi või häirib süsteeme, töötab see meetod vaikselt, sulandudes taustale ja suunates tundlikke vestlusi Venemaa luureagentuuridele.

    Laadimine...