Preventivo sconto multi-licenza
Sicurezza informatica Gli hacker russi sfruttano la funzione "Dispositivi...

Gli hacker russi sfruttano la funzione "Dispositivi collegati" di Signal per spiare le conversazioni crittografate

Entro Mura nel Sicurezza informatica
Traduci in:
Italiano

Gli esperti di sicurezza informatica lanciano l'allarme dopo aver scoperto una furtiva campagna di hacking condotta da aggressori sponsorizzati dallo Stato russo, che dirotta gli account di Signal Messenger per intercettare conversazioni private e crittografate in tempo reale.

In una recente indagine, i ricercatori di sicurezza di Mandiant, una divisione di Google, avvertono che diversi gruppi russi di minacce persistenti avanzate (APT) hanno sviluppato un metodo potente per compromettere la funzionalità "dispositivi collegati" di Signal, una funzionalità fondamentale che consente agli utenti di sincronizzare la propria app di messaggistica sicura su più telefoni, tablet o computer.

Tuttavia, questa comodità si sta trasformando in un'arma pericolosa. Sfruttando i dispositivi collegati, gli hacker possono accedere in modo invisibile agli account delle vittime e monitorare i loro messaggi criptati senza violare la crittografia end-to-end di Signal. Una volta ottenuto l'accesso, ogni messaggio viene copiato direttamente agli aggressori, senza che il bersaglio lo sappia mai.

Come funziona l'attacco: phishing tramite codice QR e dirottamento di dispositivi

Il metodo degli hacker si basa sull'inganno. Le vittime vengono ingannate e indotte a scansionare codici QR dannosi che sembrano legittimi inviti al gruppo Signal o istruzioni di associazione del dispositivo. Una volta scansionato, il dispositivo degli aggressori viene segretamente aggiunto all'account Signal della vittima come "dispositivo collegato".

Da quel momento in poi, tutti i messaggi, sia inviati che ricevuti, vengono riprodotti in tempo reale sul sistema dell'attaccante. Ciò aggira la crittografia robusta di Signal perché gli aggressori sono ora partecipanti autorizzati, non violano la crittografia ma si uniscono furtivamente alla conversazione.

Il rapporto di Mandiant evidenzia che:

  • I gruppi APT russi affiliati al Cremlino sono stati visti utilizzare questo metodo negli attacchi di phishing rivolti a personale militare, politici, giornalisti e attivisti, ovvero individui che solitamente si affidano a Signal per comunicazioni sicure.
  • Queste pagine di phishing spesso imitano l'interfaccia ufficiale di Signal o si spacciano per app attendibili, come Kropyva, lo strumento di guida dell'artiglieria dell'esercito ucraino.
  • In scenari di battaglia, le forze russe sono state sorprese a usare dispositivi catturati per collegare gli account Signal ai loro server per raccogliere informazioni.

Accesso invisibile: perché questo exploit è così pericoloso

Uno degli aspetti più preoccupanti di questo attacco è la sua silenziosità. Gli utenti di Signal in genere non ricevono alcun avviso evidente quando un nuovo dispositivo viene collegato al loro account. Ciò consente agli hacker di mantenere una sorveglianza a lungo termine senza essere scoperti.

Mandiant descrive la tecnica come una "forma di accesso iniziale a bassa firma", il che significa che lascia poche tracce. Senza controllare attivamente le impostazioni dei "Dispositivi collegati", le vittime potrebbero non essere a conoscenza per mesi, o anche di più, del fatto che le loro conversazioni private vengono trasmesse ad attori ostili.

Obiettivo più ampio: a rischio anche WhatsApp e Telegram

Sebbene Signal sia l'attenzione attuale, Mandiant sottolinea che questo tipo di attacco a dispositivo collegato non è esclusivo di Signal. Gli hacker russi stanno impiegando tattiche simili contro altre app di messaggistica ampiamente utilizzate, tra cui WhatsApp e Telegram.

Tutte queste app consentono la sincronizzazione multi-dispositivo e il processo spesso prevede l'uso di codici QR per maggiore praticità, il che le rende adatte ad abusi tramite phishing.

Spionaggio nel mondo reale: obiettivi militari e politici

L'obiettivo principale degli aggressori sembra essere quello di raccogliere informazioni da individui e gruppi di alto valore, tra cui:

  • Personale militare ucraino
  • Politici europei
  • Giornalisti investigativi
  • Attivisti per i diritti umani

Un'operazione particolarmente sofisticata ha visto il famigerato gruppo di hacker russi Sandworm sfruttare questa tecnica sul campo di battaglia. Dopo aver catturato i telefoni dei soldati nemici, hanno collegato i dispositivi alla loro infrastruttura, consentendo loro di spiare le comunicazioni militari in tempo reale.

Segnali che potresti essere compromesso

Poiché questo metodo di attacco è progettato per essere silenzioso, l'auto-controllo è fondamentale. Ecco alcuni passaggi per rilevare e prevenire l'accesso non autorizzato:

  1. Controlla regolarmente i dispositivi collegati: apri l'app Signal, vai su Impostazioni → Dispositivi collegati e ispeziona attentamente l'elenco. Se vedi un dispositivo non familiare, scollegalo immediatamente.
  • Abilita Blocco Schermo: usa una password lunga e complessa sul tuo telefono. Questo rende più difficile per qualcuno collegare un dispositivo se ottiene brevemente l'accesso fisico.
  • Rimani aggiornato: installa sempre l'ultima versione di Signal e di altre app di messaggistica. Gli aggiornamenti spesso includono miglioramenti della sicurezza che possono ridurre le superfici di attacco.
  • Attenzione ai codici QR: tratta con sospetto i codici QR inaspettati, anche se sembrano provenire da una fonte attendibile. Verifica gli inviti di gruppo direttamente con il mittente prima di scansionarli.
  • Utilizza l'autenticazione a più fattori (MFA): sebbene Signal non supporti l'MFA per il collegamento dei dispositivi, abilitare l'autenticazione a due fattori sui backup cloud e sugli account dello smartphone può fornire un ulteriore livello di difesa.

    • Cosa dovrebbero fare ora gli utenti di Signal

    Il report di Mandiant è un serio promemoria del fatto che nessuna app è immune allo sfruttamento, soprattutto quando si ha a che fare con attori nazionali con vaste risorse. La crittografia end-to-end di Signal rimane solida, ma questo attacco aggira la crittografia sfruttando il comportamento umano e la praticità di sincronizzazione dei dispositivi dell'app.

    Se svolgi una professione delicata o vivi in una regione con minacce di sorveglianza attive, controllare le impostazioni di sicurezza di Signal dovrebbe diventare un'abitudine regolare.

    Gli esperti di sicurezza sottolineano che la vigilanza è fondamentale:

    • Gli utenti ad alto rischio (personale militare, giornalisti, attivisti) dovrebbero controllare settimanalmente i dispositivi collegati.
    • Evita di scansionare i codici QR se non sei assolutamente certo della loro fonte.
    • Segnala messaggi sospetti o tentativi di phishing al team IT o al fornitore di servizi di sicurezza informatica della tua organizzazione.

    Una nuova era di sorveglianza silenziosa

    Lo sfruttamento della funzionalità "linked devices" di Signal segna un'evoluzione agghiacciante nello spionaggio informatico sostenuto dallo stato. A differenza del malware che lascia tracce o interrompe i sistemi, questo metodo opera silenziosamente, mimetizzandosi sullo sfondo mentre incanala conversazioni sensibili verso le agenzie di intelligence russe.

    Caricamento in corso...