Rusijos įsilaužėliai išnaudoja „Signal“ susietų įrenginių funkciją, kad šnipinėtų šifruotus pokalbius

Kibernetinio saugumo ekspertai kelia pavojaus signalą atskleidę Rusijos valstybės remiamų užpuolikų slaptą įsilaužimo kampaniją, kuri užgrobia „Signal Messenger“ paskyras, kad galėtų pasiklausyti privačių, šifruotų pokalbių realiuoju laiku.

Neseniai paskelbtame tyrime „Google“ padalinio „Mandiant“ saugos tyrėjai perspėja, kad kelios Rusijos išplėstinės nuolatinės grėsmės (APT) grupės sukūrė galingą metodą, kaip pažeisti „Signal“ susietų įrenginių funkciją – pagrindinę funkciją, leidžiančią vartotojams sinchronizuoti saugią pranešimų siuntimo programą keliuose telefonuose, planšetiniuose kompiuteriuose ar kompiuteriuose.

Tačiau šis patogumas paverčiamas pavojingu ginklu. Išnaudodami susietus įrenginius, įsilaužėliai gali nepastebimai patekti į aukų paskyras ir stebėti jų užšifruotus pranešimus nepažeisdami „Signal“ šifravimo nuo galo iki galo. Gavus prieigą, kiekvienas pranešimas nukopijuojamas tiesiai užpuolikams – taikiniui to niekada nežinant.

Kaip veikia ataka: QR kodo sukčiavimas ir įrenginio užgrobimas

Įsilaužėlių metodas remiasi apgaule. Aukos apgaudinėjamos nuskaityti kenkėjiškus QR kodus, kurie atrodo kaip teisėti signalų grupės kvietimai arba įrenginių susiejimo instrukcijos. Nuskaitytas užpuoliko įrenginys slapta pridedamas prie aukos „Signal“ paskyros kaip „susietas įrenginys“.

Nuo to momento visi pranešimai – tiek išsiųsti, tiek gauti – atsispindi užpuoliko sistemoje realiu laiku. Taip apeinamas patikimas Signalo šifravimas, nes užpuolikai dabar yra įgalioti dalyviai, nepažeidžiantys šifravimo, bet slapta prisijungę prie pokalbio.

Mandiant ataskaitoje pabrėžiama, kad:

• Buvo pastebėta, kad Rusijos APT grupės, suderintos su Kremliumi, šiuo metodu naudojasi sukčiavimo atakose, nukreiptose į kariškius, politikus, žurnalistus ir aktyvistus – asmenis, kurie dažniausiai naudojasi „Signal“ saugiu ryšiu.
• Šie sukčiavimo puslapiai dažnai imituoja oficialią „Signal“ sąsają arba yra patikimos programos, pvz., Ukrainos kariuomenės artilerijos valdymo įrankis „Kropyva“.
• Pagal mūšio lauko scenarijus Rusijos pajėgos buvo sugautos naudojant užfiksuotus įrenginius, kad susietų signalų paskyras su savo serveriais žvalgybos informacijai rinkti.

Nematoma prieiga: kodėl šis išnaudojimas toks pavojingas

Vienas iš labiausiai susirūpinusių šios atakos aspektų yra tai, kaip tyliai ji veikia. Signalo naudotojai paprastai negauna jokių pastebimų įspėjimų, kai su jų paskyra susiejamas naujas įrenginys. Tai leidžia įsilaužėliams palaikyti ilgalaikį stebėjimą be aptikimo.

„Mandiant“ techniką apibūdina kaip „pradinės prieigos žemo parašo formą“, o tai reiškia, kad ji palieka nedaug pėdsakų. Aktyviai nepatikrinus „Susietų įrenginių“ nustatymų, aukos mėnesius ar net ilgiau gali nežinoti, kad jų privatūs pokalbiai transliuojami priešiškai nusiteikusiems veikėjams.

Platesnis tikslas: „WhatsApp“ ir „Telegram“ taip pat rizikuoja

Nors šiuo metu pagrindinis dėmesys skiriamas „Signal“, „Mandiant“ pabrėžia, kad tokio tipo susieto įrenginio atakos nėra būdingos tik „Signal“. Rusijos įsilaužėliai taiko panašią taktiką prieš kitas plačiai naudojamas pranešimų siuntimo programas, įskaitant WhatsApp ir Telegram.

Visos šios programos leidžia sinchronizuoti kelis įrenginius, o patogumo sumetimais šis procesas dažnai apima QR kodus, todėl jomis galima piktnaudžiauti sukčiaujant.

Realus šnipinėjimas: kariniai ir politiniai tikslai

Atrodo, kad užpuolikai daugiausia dėmesio skiria žvalgybos informacijai iš vertingų asmenų ir grupių, įskaitant:

• Ukrainos kariškiai
• Europos politikai
• Tiriamieji žurnalistai
• Žmogaus teisių aktyvistai

Per vieną ypač sudėtingą operaciją Rusijos „ Sandworm“ įsilaužimo grupė panaudojo šią techniką mūšio lauke. Užfiksavę priešo kareivių telefonus, jie šiuos įrenginius susiejo su savo infrastruktūra, kad jie galėtų šnipinėti karinius ryšius realiu laiku.

Ženklai, kad galite būti pažeisti

Kadangi šis atakos metodas sukurtas tylėti, savikontrolė yra labai svarbi. Štai keli veiksmai, kaip aptikti ir užkirsti kelią neteisėtai prieigai:

1. Reguliariai peržiūrėkite susietus įrenginius: atidarykite Signalų programą, eikite į Nustatymai → Susieti įrenginiai ir atidžiai peržiūrėkite sąrašą. Jei matote nepažįstamą įrenginį, nedelsdami jį atsiekite.

Ką signalo vartotojai turėtų daryti dabar

Mandiant ataskaita yra blaivus priminimas, kad jokia programa nėra apsaugota nuo išnaudojimo, ypač kai susiduria su nacionalinių valstybių veikėjais, turinčiais didžiulius išteklius. Signalo šifravimas nuo galo iki galo išlieka tvirtas, tačiau ši ataka apeina šifravimą išnaudodama žmogaus elgesį ir programos įrenginių sinchronizavimo patogumą.

Jei dirbate jautrioje profesijoje arba gyvenate regione, kuriame kyla aktyvių stebėjimo grėsmių, signalo saugos nustatymų tikrinimas turėtų tapti įprastu įpročiu.

Saugumo ekspertai pabrėžia, kad labai svarbu būti budriems:

• Didelės rizikos vartotojai (kariškiai, žurnalistai, aktyvistai) turėtų kas savaitę tikrinti susietus įrenginius.
• Venkite nuskaityti QR kodus, nebent esate visiškai tikri dėl jų šaltinio.
• Praneškite apie įtartinus pranešimus arba sukčiavimo bandymus savo organizacijos IT komandai arba kibernetinio saugumo paslaugų teikėjui.

Nauja tylaus stebėjimo era

„Signal“ „susietų įrenginių“ funkcijos išnaudojimas žymi siaubingą valstybės remiamo kibernetinio šnipinėjimo evoliuciją. Skirtingai nuo kenkėjiškų programų, kurios palieka pėdsakus ar sutrikdo sistemas, šis metodas veikia tyliai, įsiliedamas į foną ir nukreipdamas jautrius pokalbius Rusijos žvalgybos agentūroms.