Venäläiset hakkerit hyödyntävät Signalin "Linkitetyt laitteet" -ominaisuutta vakoilemaan salattuja keskusteluja

Kyberturvallisuusasiantuntijat herättävät hälytyksiä saatuaan selville Venäjän valtion tukemien hyökkääjien salaperäisen hakkerointikampanjan, joka kaappaa Signal Messenger -tilejä salakuunnellakseen yksityisiä, salattuja keskusteluja reaaliajassa.

Äskettäin julkaistussa tutkimuksessa Googlen osaston Mandiantin tietoturvatutkijat varoittavat, että useat venäläiset Advanced Persistent Threat (APT) -ryhmät ovat kehittäneet tehokkaan menetelmän vaarantaa Signalin "linkitettyjen laitteiden" ominaisuuden - keskeisen ominaisuuden, jonka avulla käyttäjät voivat synkronoida suojatun viestintäsovelluksensa useiden puhelimien, tablettien tai tietokoneiden välillä.

Tämä mukavuus on kuitenkin muuttumassa vaaralliseksi aseeksi. Hyödyntämällä linkitettyjä laitteita hakkerit voivat näkymättömästi koskettaa uhrien tilejä ja valvoa heidän salattuja viestejään rikkomatta Signalin päästä päähän -salausta. Kun käyttöoikeus on saatu, jokainen viesti kopioidaan suoraan hyökkääjille – kohteen tietämättä.

Kuinka hyökkäys toimii: QR-koodien tietojenkalastelu ja laitekaappaus

Hakkereiden menetelmä perustuu petokseen. Uhrit huijataan skannaamaan haitallisia QR-koodeja, jotka näyttävät laillisilta Signal-ryhmän kutsuilta tai laiteparin muodostamisohjeilta. Kun hyökkääjän laite on skannattu, se lisätään salaa uhrin Signal-tilille "linkitettynä laitteena".

Siitä hetkestä lähtien kaikki viestit – sekä lähetetyt että vastaanotetut – peilataan reaaliajassa hyökkääjän järjestelmään. Tämä ohittaa Signalin vahvan salauksen, koska hyökkääjät ovat nyt valtuutettuja osallistujia, jotka eivät rikkoo salausta, mutta liittyvät salaa keskusteluun.

Mandiantin raportti korostaa seuraavaa:

• Kremlin kanssa linjassa olevien venäläisten APT-ryhmien on nähty käyttävän tätä menetelmää tietojenkalasteluhyökkäyksissä, jotka on kohdistettu sotilaisiin, poliitikkoihin, toimittajiin ja aktivisteihin – henkilöihin, jotka yleensä luottavat Signaaliin turvallisessa viestinnässä.
• Nämä tietojenkalastelusivut jäljittelevät usein Signalin virallista käyttöliittymää tai esiintyvät luotettavina sovelluksina, kuten Ukrainan armeijan tykistöohjaustyökalu Kropyva.
• Taistelukenttäskenaarioissa venäläiset joukot on jäänyt kiinni käyttämästä vangittuja laitteita signaalitilien linkittämiseen takaisin palvelimilleen tiedustelutietojen keräämistä varten.

Näkymätön pääsy: Miksi tämä hyväksikäyttö on niin vaarallista

Yksi tämän hyökkäyksen huolestuttavimmista puolista on, kuinka hiljainen se toimii. Signaalin käyttäjät eivät yleensä saa mitään havaittavia ilmoituksia, kun uusi laite on linkitetty heidän tiliinsä. Tämän ansiosta hakkerit voivat ylläpitää pitkäaikaista valvontaa ilman havaitsemista.

Mandiant kuvailee tekniikkaa "alkupääsyn vähäisen allekirjoituksen muotona", mikä tarkoittaa, että se jättää vain vähän jälkiä. Tarkistamatta aktiivisesti "Linkitetyt laitteet" -asetuksiaan uhrit saattavat olla tietämättömiä kuukausia tai jopa pidempään, että heidän yksityisiä keskustelujaan lähetetään vihamielisille toimijoille.

Laajempi kohde: WhatsApp ja Telegram myös vaarassa

Vaikka Signal on tällä hetkellä painopiste, Mandiant korostaa, että tämäntyyppinen linkitetyn laitteen hyökkäys ei ole ainutlaatuinen vain Signalille. Venäläiset hakkerit käyttävät samanlaisia taktiikoita muita laajalti käytettyjä viestintäsovelluksia, kuten WhatsAppia ja Telegramia, vastaan.

Kaikki nämä sovellukset mahdollistavat useiden laitteiden synkronoinnin, ja prosessiin liittyy usein QR-koodeja käyttömukavuuden vuoksi, mikä tekee niistä kypsiä tietojenkalastelun kautta tapahtuvalle väärinkäytökselle.

Reaalimaailman vakoilu: sotilaalliset ja poliittiset kohteet

Hyökkääjien ensisijainen painopiste näyttää olevan tiedustelutietojen kerääminen arvokkailta henkilöiltä ja ryhmiltä, mukaan lukien:

• Ukrainan armeijaa
• eurooppalaiset poliitikot
• Tutkivat toimittajat
• Ihmisoikeusaktivistit

Eräässä erityisen hienostuneessa operaatiossa Venäjän pahamaineinen Sandworm-hakkerointiryhmä käytti tätä tekniikkaa taistelukentällä. Vangittuaan vihollissotilaiden puhelimet he liittivät laitteet infrastruktuuriinsa, jolloin he pystyivät vakoilemaan sotilaallista viestintää reaaliajassa.

Merkkejä siitä, että saatat vaarantua

Koska tämä hyökkäysmenetelmä on suunniteltu hiljaiseksi, itsetarkistus on ratkaisevan tärkeää. Tässä on joitain vaiheita luvattoman käytön havaitsemiseksi ja estämiseksi:

1. Tarkista linkitetyt laitteet säännöllisesti: Avaa Signaali-sovellus, valitse Asetukset → Linkitetyt laitteet ja tarkista luettelo huolellisesti. Jos näet tuntemattoman laitteen, poista sen linkitys välittömästi.

Mitä signaalin käyttäjien pitäisi tehdä nyt

Mandiantin raportti on raitistava muistutus siitä, että mikään sovellus ei ole immuuni hyväksikäytölle – varsinkin kun kohtaavat kansallisvaltion toimijat, joilla on valtavia resursseja. Signalin päästä päähän -salaus on edelleen vankka, mutta tämä hyökkäys ohittaa salauksen hyödyntämällä ihmisten käyttäytymistä ja sovelluksen laitesynkronoinnin mukavuutta.

Jos olet herkässä ammatissa tai asut alueella, jolla on aktiivisia valvontauhkia, signaalin suojausasetusten tarkastamisesta tulisi tulla säännöllinen tapa.

Turvallisuusasiantuntijat korostavat, että valppaus on avainasemassa:

• Riskikäyttäjien (sotilashenkilöstö, toimittajat, aktivistit) tulee tarkistaa linkitetyt laitteet viikoittain.
• Vältä QR-koodien skannausta, ellet ole täysin varma niiden lähteestä.
• Ilmoita epäilyttävistä viesteistä tai tietojenkalasteluyrityksistä organisaatiosi IT-tiimille tai kyberturvallisuuden tarjoajalle.

Hiljaisen valvonnan uusi aikakausi

Signalin "linkitettyjen laitteiden" -ominaisuuden hyödyntäminen merkitsee hyytävää kehitystä valtion tukemassa kybervakoilussa. Toisin kuin haittaohjelmat, jotka jättävät jälkiä tai häiritsevät järjestelmiä, tämä menetelmä toimii hiljaa sulautuen taustalle ja ohjaten arkaluonteisia keskusteluja Venäjän tiedustelupalveluille.