هکرهای روسی از ویژگی "دستگاه های مرتبط" سیگنال برای جاسوسی از مکالمات رمزگذاری شده سوء استفاده می کنند.

ترجمه به:

کارشناسان امنیت سایبری پس از کشف یک کمپین هک مخفیانه توسط مهاجمان تحت حمایت دولت روسیه که حساب‌های پیام‌رسان سیگنال را برای استراق سمع مکالمات خصوصی و رمزگذاری شده در زمان واقعی ربودند، هشدار داده‌اند.

در تحقیقاتی که به تازگی منتشر شده است، محققان امنیتی Mandiant، یکی از بخش‌های گوگل، هشدار می‌دهند که چندین گروه تهدید دائمی پیشرفته روسی (APT) روشی قدرتمند برای به خطر انداختن ویژگی «دستگاه‌های مرتبط» Signal توسعه داده‌اند - قابلیتی کلیدی که به کاربران اجازه می‌دهد برنامه پیام‌رسانی امن خود را در چندین تلفن، تبلت یا رایانه همگام‌سازی کنند.

با این حال، این راحتی در حال تبدیل شدن به یک سلاح خطرناک است. با بهره‌برداری از دستگاه‌های مرتبط، هکرها می‌توانند به صورت نامرئی به حساب‌های قربانیان ضربه بزنند و پیام‌های رمزگذاری‌شده آن‌ها را بدون شکستن رمزگذاری سرتاسر سیگنال کنترل کنند. هنگامی که دسترسی به دست می آید، هر پیامی مستقیماً برای مهاجمان کپی می شود - بدون اینکه هدف هرگز بداند.

فهرست مطالب

نحوه عملکرد حمله: فیشینگ کد QR و ربودن دستگاه

روش هکرها بر فریب متکی است. قربانیان فریب داده می‌شوند تا کدهای QR مخربی را اسکن کنند که شبیه دعوت‌های قانونی گروه سیگنال یا دستورالعمل‌های جفت‌سازی دستگاه هستند. پس از اسکن، دستگاه مهاجم به صورت مخفیانه به حساب سیگنال قربانی به عنوان «دستگاه مرتبط» اضافه می‌شود.

از آن لحظه به بعد، همه پیام‌ها - اعم از ارسالی و دریافتی - در زمان واقعی به سیستم مهاجم منعکس می‌شوند. این رمزگذاری قوی سیگنال را دور می زند زیرا مهاجمان اکنون یک شرکت کننده مجاز هستند و رمزگذاری را نمی شکنند بلکه مخفیانه به مکالمه می پیوندند.

گزارش Mandiant نشان می دهد که:

گروه‌های روسی APT همسو با کرملین دیده شده‌اند که از این روش در حملات فیشینگ با هدف قرار دادن پرسنل نظامی، سیاستمداران، روزنامه‌نگاران و فعالان استفاده می‌کنند - افرادی که معمولاً برای ارتباطات امن به سیگنال متکی هستند.
این صفحات فیشینگ اغلب رابط رسمی سیگنال را تقلید می کنند یا به عنوان برنامه های قابل اعتماد مانند ابزار هدایت توپخانه ارتش اوکراین، Kropyva، ظاهر می شوند.
در سناریوهای میدان نبرد، نیروهای روسی با استفاده از دستگاه های ضبط شده برای پیوند دادن حساب های سیگنال به سرورهای خود برای جمع آوری اطلاعات دستگیر شده اند.

دسترسی نامرئی: چرا این سوء استفاده بسیار خطرناک است

یکی از نگران کننده ترین جنبه های این حمله، بی سر و صدا بودن آن است. کاربران سیگنال معمولاً هنگامی که یک دستگاه جدید به حساب آنها متصل می شود، هیچ هشدار قابل توجهی دریافت نمی کنند. این به هکرها اجازه می دهد تا نظارت طولانی مدت بدون شناسایی داشته باشند.

Mandiant این تکنیک را به‌عنوان «شکل کم امضای دسترسی اولیه» توصیف می‌کند، به این معنی که آثار کمی از خود بر جای می‌گذارد. بدون بررسی فعال تنظیمات «دستگاه‌های مرتبط»، قربانیان ممکن است ماه‌ها یا حتی بیشتر از اینکه مکالمات خصوصی‌شان برای بازیگران متخاصم پخش می‌شود، بی‌اطلاع بمانند.

هدف گسترده تر: واتس اپ و تلگرام نیز در معرض خطر هستند

در حالی که سیگنال تمرکز فعلی است، Mandiant تأکید می کند که این نوع حمله به دستگاه متصل منحصر به سیگنال نیست. هکرهای روسی تاکتیک های مشابهی را علیه سایر برنامه های پیام رسانی پرکاربرد از جمله واتس اپ و تلگرام به کار می گیرند.

همه این برنامه‌ها امکان همگام‌سازی چند دستگاهی را فراهم می‌کنند، و این فرآیند اغلب شامل کدهای QR برای راحتی می‌شود و آنها را برای سوءاستفاده از طریق فیشینگ آماده می‌کند.

جاسوسی در دنیای واقعی: اهداف نظامی و سیاسی

به نظر می رسد تمرکز اصلی مهاجمان جمع آوری اطلاعات از افراد و گروه های با ارزش است، از جمله:

پرسنل نظامی اوکراین
سیاستمداران اروپایی
روزنامه نگاران تحقیقی
فعالان حقوق بشر

در یکی از عملیات های پیچیده، گروه بدنام هکر Sandworm روسیه از این تکنیک در میدان جنگ استفاده کرد. پس از ضبط تلفن های سربازان دشمن، آنها دستگاه ها را به زیرساخت های خود متصل کردند و آنها را قادر ساختند تا از ارتباطات نظامی در زمان واقعی جاسوسی کنند.

نشانه هایی که ممکن است به خطر بیفتد

از آنجایی که این روش حمله به صورت بی صدا طراحی شده است، خود کنترلی بسیار مهم است. در اینجا چند مرحله برای شناسایی و جلوگیری از دسترسی غیرمجاز وجود دارد:

دستگاه‌های مرتبط را مرتباً مرور کنید: برنامه سیگنال خود را باز کنید، به تنظیمات ← دستگاه‌های مرتبط بروید و فهرست را به دقت بررسی کنید. اگر دستگاهی ناآشنا دیدید، فوراً پیوند آن را لغو کنید.

فعال کردن قفل صفحه: از یک رمز عبور طولانی و پیچیده در تلفن خود استفاده کنید. این امر باعث می‌شود که اگر کسی برای مدت کوتاهی به دستگاه دسترسی پیدا کند، پیوند دادن یک دستگاه را دشوارتر می‌کند.

به روز بمانید: همیشه آخرین نسخه سیگنال و سایر برنامه های پیام رسانی را نصب کنید. به روز رسانی ها اغلب شامل پیشرفت های امنیتی هستند که می توانند سطوح حمله را کاهش دهند.

مراقب کدهای QR باشید: با کدهای QR غیرمنتظره با شک و تردید رفتار کنید، حتی اگر به نظر می رسد که از یک منبع قابل اعتماد می آیند. قبل از اسکن، دعوت‌های گروهی را مستقیماً با فرستنده تأیید کنید.

از احراز هویت چند عاملی (MFA) استفاده کنید: در حالی که خود سیگنال از MFA برای اتصال دستگاه ها پشتیبانی نمی کند، فعال کردن احراز هویت دو مرحله ای در پشتیبان گیری و حساب های ابری تلفن هوشمند شما می تواند یک لایه دفاعی اضافی ایجاد کند.

آنچه که کاربران سیگنال اکنون باید انجام دهند

گزارش Mandiant یادآوری هشیارکننده است که هیچ برنامه‌ای در برابر استثمار مصون نیست - به‌ویژه زمانی که با بازیگران دولت-ملت با منابع گسترده روبرو می‌شویم. رمزگذاری سرتاسر سیگنال همچنان قوی است، اما این حمله با بهره‌برداری از رفتار انسان و راحتی همگام‌سازی دستگاه، رمزگذاری را دور می‌زند.

اگر در یک حرفه حساس هستید یا در منطقه ای زندگی می کنید که تهدیدهای نظارتی فعال دارد، ممیزی تنظیمات امنیتی سیگنال شما باید به یک عادت عادی تبدیل شود.

کارشناسان امنیتی تاکید می کنند که هوشیاری کلیدی است:

کاربران پرخطر (پرسنل نظامی، روزنامه نگاران، فعالان) باید هر هفته دستگاه های مرتبط را بررسی کنند.
از اسکن کدهای QR خودداری کنید مگر اینکه منبع آنها کاملاً مشخص باشد.
پیام‌های مشکوک یا تلاش‌های فیشینگ را به تیم فناوری اطلاعات سازمان یا ارائه‌دهنده امنیت سایبری گزارش دهید.

عصر جدیدی از نظارت خاموش

بهره‌برداری از ویژگی «دستگاه‌های مرتبط» سیگنال یک تحول وحشتناک در جاسوسی سایبری تحت حمایت دولت است. برخلاف بدافزارهایی که ردپایی از خود بر جای می‌گذارند یا سیستم‌ها را مختل می‌کنند، این روش به آرامی عمل می‌کند، در حالی که مکالمات حساس را به آژانس‌های اطلاعاتی روسیه منتقل می‌کند در پس‌زمینه ترکیب می‌شود.

پردازشگر پرداخت EnigmaSoft's Digital River GmbH تشکیل پرونده برای ورشکستگی تأثیری بر محافظت ضد بدافزار مشتریان SpyHunter ندارد

جستجو کردن

تغییر منطقه