Ruski hakeri iskorištavaju Signalovu značajku 'povezanih uređaja' za špijuniranje šifriranih razgovora

Stručnjaci za kibernetičku sigurnost podižu uzbunu nakon što su otkrili tajnu hakersku kampanju od strane napadača sponzoriranih od ruske države koji otimaju račune Signal Messengera kako bi prisluškivali privatne, šifrirane razgovore u stvarnom vremenu.

U nedavno objavljenoj istrazi, sigurnosni istraživači iz Mandianta, odjela Googlea, upozoravaju da je više ruskih naprednih trajnih prijetnji (APT) grupa razvilo moćnu metodu za kompromitiranje Signalove značajke "povezanih uređaja" — ključnu mogućnost koja korisnicima omogućuje sinkronizaciju njihove aplikacije za sigurnu razmjenu poruka na više telefona, tableta ili računala.

Međutim, ta se pogodnost pretvara u opasno oružje. Iskorištavanjem povezanih uređaja, hakeri mogu neprimjetno ulaziti u račune žrtava i nadzirati njihove šifrirane poruke bez probijanja Signalove end-to-end enkripcije. Nakon što se dobije pristup, svaka se poruka kopira izravno napadačima—a da meta to uopće ne zna.

Kako funkcionira napad: Phishing QR koda i otmica uređaja

Metoda hakera oslanja se na prijevaru. Žrtve su prevarene da skeniraju zlonamjerne QR kodove koji izgledaju kao legitimne pozivnice za grupu Signal ili upute za uparivanje uređaja. Nakon skeniranja, uređaj napadača potajno se dodaje žrtvinom Signal računu kao "povezani uređaj".

Od tog trenutka nadalje, sve poruke - i poslane i primljene - zrcale se u stvarnom vremenu u napadačev sustav. Time se zaobilazi Signalova robusna enkripcija jer su napadači sada ovlašteni sudionici, ne razbijaju enkripciju već se potajno pridružuju razgovoru.

Mandiantovo izvješće ističe sljedeće:

• Ruske APT skupine povezane s Kremljom viđene su kako koriste ovu metodu u phishing napadima usmjerenim na vojno osoblje, političare, novinare i aktiviste—pojedince koji se obično oslanjaju na Signal za sigurnu komunikaciju.
• Ove phishing stranice često oponašaju službeno sučelje Signala ili se predstavljaju kao pouzdane aplikacije poput ukrajinskog vojnog alata za navođenje artiljerije, Kropyva.
• U scenarijima na bojnom polju, ruske snage su uhvaćene kako koriste zarobljene uređaje za povezivanje Signal računa sa svojim poslužiteljima radi prikupljanja obavještajnih podataka.

Nevidljivi pristup: Zašto je ovo iskorištavanje tako opasno

Jedan od aspekata ovog napada koji najviše zabrinjava je njegova tihost. Korisnici Signala obično ne primaju nikakva uočljiva upozorenja kada je novi uređaj povezan s njihovim računom. To hakerima omogućuje dugoročni nadzor bez otkrivanja.

Mandiant opisuje tehniku kao "nisko signaturni oblik početnog pristupa", što znači da za sobom ostavlja malo tragova. Bez aktivne provjere postavki "povezanih uređaja", žrtve mogu mjesecima ostati nesvjesne—ili čak i dulje—da se njihovi privatni razgovori emitiraju neprijateljskim akterima.

Širi cilj: WhatsApp i Telegram također su u opasnosti

Dok je Signal trenutačni fokus, Mandiant naglašava da ova vrsta napada povezanih uređaja nije jedinstvena za Signal. Ruski hakeri koriste slične taktike protiv drugih široko korištenih aplikacija za razmjenu poruka, uključujući WhatsApp i Telegram.

Sve te aplikacije omogućuju sinkronizaciju na više uređaja, a proces često uključuje QR kodove radi praktičnosti — što ih čini zrelima za zlouporabu putem krađe identiteta.

Špijunaža u stvarnom svijetu: vojne i političke mete

Čini se da je glavni fokus napadača prikupljanje obavještajnih podataka od visokovrijednih pojedinaca i skupina, uključujući:

• Ukrajinsko vojno osoblje
• europski političari
• Novinari istraživači
• Aktivisti za ljudska prava

U jednoj posebno sofisticiranoj operaciji ozloglašena ruska hakerska skupina Sandworm koristi ovu tehniku na bojnom polju. Nakon što su uhvatili telefone neprijateljskih vojnika, povezali su uređaje s njihovom infrastrukturom, omogućujući im špijuniranje vojnih komunikacija u stvarnom vremenu.

Znakovi da biste mogli biti ugroženi

Budući da je ova metoda napada osmišljena da bude tiha, samoprovjera je ključna. Evo nekoliko koraka za otkrivanje i sprječavanje neovlaštenog pristupa:

1. Redovito pregledavajte povezane uređaje: otvorite aplikaciju Signal, idite na Postavke → Povezani uređaji i pažljivo pregledajte popis. Ako vidite nepoznati uređaj, odmah ga poništite.

Što bi korisnici signala sada trebali učiniti

Mandiantovo izvješće otrežnjujući je podsjetnik da nijedna aplikacija nije imuna na iskorištavanje—posebno kada se suočava s nacionalnim akterima s ogromnim resursima. Enkripcija Signala s kraja na kraj ostaje robusna, ali ovaj napad zaobilazi enkripciju iskorištavajući ljudsko ponašanje i pogodnost sinkronizacije uređaja aplikacije.

Ako ste u osjetljivoj profesiji ili živite u regiji s aktivnim prijetnjama nadzora, revizija vaših sigurnosnih postavki Signala trebala bi vam postati redovita navika.

Sigurnosni stručnjaci naglašavaju da je oprez ključan:

• Korisnici visokog rizika (vojno osoblje, novinari, aktivisti) trebali bi provjeravati povezane uređaje jednom tjedno.
• Izbjegavajte skeniranje QR kodova osim ako niste apsolutno sigurni u njihov izvor.
• Prijavite sumnjive poruke ili pokušaje krađe identiteta IT timu svoje organizacije ili pružatelju usluga kibernetičke sigurnosti.

Nova era tihog nadzora

Iskorištavanje Signalove značajke "povezanih uređaja" označava jezivu evoluciju kibernetičke špijunaže koju podržava država. Za razliku od zlonamjernog softvera koji ostavlja tragove ili ometa sustave, ova metoda radi tiho, stapajući se s pozadinom dok usmjerava osjetljive razgovore s ruskim obavještajnim agencijama.