הצעת הנחה מרובה רישיונות
אבטחת מחשבים האקרים רוסים מנצלים את תכונת 'התקנים מקושרים' של Signal...

האקרים רוסים מנצלים את תכונת 'התקנים מקושרים' של Signal כדי לרגל אחרי שיחות מוצפנות

עד Mura ב-אבטחת מחשבים
לתרגם ל:
עברית

מומחי אבטחת סייבר מעלים אזעקה לאחר שחשפו מסע פריצה חמקני של תוקפים בחסות המדינה הרוסית, שחוטף חשבונות Signal Messenger כדי לצותת לשיחות פרטיות ומוצפנות בזמן אמת.

בחקירה שפורסמה לאחרונה, חוקרי אבטחה מ-Mandiant, חטיבה של גוגל, מזהירים כי מספר קבוצות רוסיות מתקדמת מתמשכת (APT) פיתחו שיטה רבת עוצמה לסכן את תכונת "המכשירים המקושרים" של Signal - יכולת מפתח המאפשרת למשתמשים לסנכרן את אפליקציית ההודעות המאובטחת שלהם בין מספר טלפונים, טאבלטים או מחשבים.

עם זאת, הנוחות הזו מתפתלת לנשק מסוכן. על ידי ניצול מכשירים מקושרים, האקרים יכולים להתחבר באופן בלתי נראה לחשבונות של קורבנות ולנטר את ההודעות המוצפנות שלהם מבלי לשבור את ההצפנה מקצה לקצה של Signal. לאחר השגת גישה, כל הודעה מועתקת ישירות לתוקפים - מבלי שהמטרה תדע.

כיצד פועלת המתקפה: דיוג בקוד QR וחטיפת מכשירים

שיטת ההאקרים מסתמכת על הונאה. מרמים את הקורבנות לסרוק קודי QR זדוניים שנראים כמו הזמנות לגיטימיות לקבוצות איתות או הוראות להתאמה בין מכשירים. לאחר הסריקה, המכשיר של התוקפים מתווסף בחשאי לחשבון Signal של הקורבן כ"מכשיר מקושר".

מאותו רגע ואילך, כל ההודעות - שנשלחות והן מתקבלות - משתקפות בזמן אמת למערכת של התוקף. זה עוקף את ההצפנה החזקה של Signal מכיוון שהתוקפים הם כעת משתתף מורשה, לא שוברים את ההצפנה אלא מצטרפים בחשאי לשיחה.

הדו"ח של מנדיאנט מדגיש כי:

  • קבוצות APT רוסיות המקושרות עם הקרמלין נראו משתמשות בשיטה זו בהתקפות פישינג המכוונות לאנשי צבא, פוליטיקאים, עיתונאים ופעילים - אנשים שבדרך כלל מסתמכים על Signal לתקשורת מאובטחת.
  • דפי פישינג אלה מחקים לעתים קרובות את הממשק הרשמי של סיגנל או מתחזים לאפליקציות מהימנות כמו כלי ההדרכה הארטילרי של הצבא האוקראיני, Kropyva.
  • בתרחישים של שדה הקרב, כוחות רוסים נתפסו כשהם משתמשים במכשירים שנתפסו כדי לקשר חשבונות Signal בחזרה לשרתים שלהם לאיסוף מודיעין.

גישה בלתי נראית: מדוע הניצול הזה כל כך מסוכן

אחד ההיבטים המדאיגים ביותר של ההתקפה הזו הוא מידת השקט שהיא פועלת. משתמשי סימן בדרך כלל אינם מקבלים התראות בולטות כאשר מכשיר חדש מקושר לחשבון שלהם. זה מאפשר להאקרים לשמור על מעקב ארוך טווח ללא זיהוי.

Mandiant מתאר את הטכניקה כ"צורה בעלת חתימה נמוכה של גישה ראשונית", כלומר היא משאירה מעט עקבות. מבלי לבדוק באופן פעיל את הגדרות "ההתקנים המקושרים" שלהם, הקורבנות עלולים להישאר לא מודעים במשך חודשים - או אפילו יותר - לכך שהשיחות הפרטיות שלהם משודרות לשחקנים עוינים.

יעד רחב יותר: גם WhatsApp וטלגרם בסיכון

בעוד ש-Signal הוא המוקד הנוכחי, Mandiant מדגיש שסוג זה של התקפה של מכשירים מקושרים אינו ייחודי לסיגנל. האקרים רוסים פורסים טקטיקות דומות נגד אפליקציות הודעות אחרות בשימוש נרחב, כולל WhatsApp וטלגרם.

כל האפליקציות הללו מאפשרות סנכרון מרובה מכשירים, והתהליך כולל לרוב קודי QR מטעמי נוחות - מה שהופך אותם להבשילים לשימוש לרעה באמצעות דיוג.

ריגול עולמי אמיתי: מטרות צבאיות ופוליטיות

נראה שהמוקד העיקרי של התוקפים הוא איסוף מודיעין מאנשים וקבוצות בעלי ערך גבוה, כולל:

  • אנשי צבא אוקראינים
  • פוליטיקאים אירופאים
  • עיתונאים חוקרים
  • פעילי זכויות אדם

מבצע מתוחכם במיוחד ראה את קבוצת הפריצה הידועה לשמצה של תולעי חול ברוסיה ממנפת את הטכניקה הזו בשדה הקרב. לאחר לכידת הטלפונים של חיילי האויב, הם קישרו את המכשירים לתשתית שלהם, מה שאיפשר להם לרגל אחר תקשורת צבאית בזמן אמת.

סימנים שאתה עלול להיפגע

מכיוון ששיטת התקפה זו נועדה להיות שקטה, בדיקה עצמית היא קריטית. להלן כמה שלבים לאיתור ומניעת גישה בלתי מורשית:

  1. סקור התקנים מקושרים באופן קבוע: פתח את אפליקציית Signal שלך, עבור אל הגדרות ← התקנים מקושרים , ובדוק היטב את הרשימה. אם אתה רואה מכשיר לא מוכר, בטל את הקישור שלו מיד.
  • אפשר נעילת מסך: השתמש בסיסמה ארוכה ומורכבת בטלפון שלך. זה מקשה על מישהו לקשר מכשיר אם הוא מקבל גישה פיזית לזמן קצר.
  • הישאר מעודכן: התקן תמיד את הגרסה העדכנית ביותר של Signal ואפליקציות הודעות אחרות. עדכונים כוללים לעתים קרובות שיפורי אבטחה שיכולים לצמצם את משטחי ההתקפה.
  • היזהרו מקודי QR: התייחסו לקודי QR בלתי צפויים בחשדנות, גם אם נראה שהם מגיעים ממקור מהימן. אמת הזמנות קבוצתיות ישירות עם השולח לפני הסריקה.
  • השתמש באימות רב-גורמי (MFA): בעוד ש-Signal עצמו אינו תומך ב-MFA לקישור מכשירים, הפעלת אימות דו-גורמי בגיבויים ובחשבונות הענן של הסמארטפון שלך יכולה לספק שכבת הגנה נוספת.

    • מה על משתמשי אות לעשות עכשיו

    הדו"ח של מנדיאנט הוא תזכורת מפוכחת לכך שאף אפליקציה אינה חסינה מפני ניצול - במיוחד כאשר היא מתמודדת עם גורמים ממדינות לאום עם משאבים עצומים. ההצפנה מקצה לקצה של Signal נשארת חזקה, אך מתקפה זו עוקפת את ההצפנה על ידי ניצול התנהגות אנושית ונוחות סנכרון המכשיר של האפליקציה.

    אם אתה במקצוע רגיש או גר באזור עם איומי מעקב פעילים, ביקורת הגדרות האבטחה של האותות שלך אמורה להפוך להרגל קבוע.

    מומחי אבטחה מדגישים שעירנות היא המפתח:

    • משתמשים בסיכון גבוה (אנשי צבא, עיתונאים, פעילים) צריכים לבדוק מכשירים מקושרים מדי שבוע.
    • הימנע מסריקת קודי QR אלא אם כן בטוח לחלוטין במקורם.
    • דווח על הודעות חשודות או ניסיונות דיוג לצוות ה-IT של הארגון או לספק אבטחת הסייבר.

    עידן חדש של מעקב שקט

    הניצול של תכונת "המכשירים המקושרים" של Signal מסמן התפתחות מצמררת בריגול סייבר המגובה על ידי המדינה. בניגוד לתוכנות זדוניות שמשאירות עקבות או משבשות מערכות, שיטה זו פועלת בשקט, משתלבת ברקע תוך כדי העברת שיחות רגישות לסוכנויות ביון רוסיות.

    טוען...