Vairāku licenču atlaides piedāvājums
Datoru drošība Krievu hakeri izmanto Signal funkciju “Saistītās...

Krievu hakeri izmanto Signal funkciju “Saistītās ierīces”, lai izspiegotu šifrētas sarunas

Līdz Mura. gadam Datoru drošība. gadā
Tulkot uz:
Latviešu

Kiberdrošības eksperti ceļ trauksmi pēc tam, kad atklājuši Krievijas valsts sponsorētu uzbrucēju slepenu uzlaušanas kampaņu, kas nolaupa Signal Messenger kontus, lai reāllaikā noklausītos privātas, šifrētas sarunas.

Nesen publicētā izmeklēšanā drošības pētnieki no Google nodaļas Mandiant brīdina, ka vairākas Krievijas uzlaboto pastāvīgo draudu (APT) grupas ir izstrādājušas spēcīgu metodi, lai apdraudētu Signal “saistīto ierīču” funkciju — galveno iespēju, kas ļauj lietotājiem sinhronizēt savu drošās ziņojumapmaiņas lietotni vairākos tālruņos, planšetdatoros vai datoros.

Taču šī ērtība tiek pārvērsta par bīstamu ieroci. Izmantojot saistītās ierīces, hakeri var nemanāmi piekļūt upuru kontiem un pārraudzīt viņu šifrētos ziņojumus, nepārkāpjot Signal pilnīgu šifrēšanu. Kad piekļuve ir iegūta, katrs ziņojums tiek kopēts tieši uzbrucējiem — mērķim to nezinot.

Kā darbojas uzbrukums: QR koda pikšķerēšana un ierīču nolaupīšana

Hakeru metode balstās uz maldināšanu. Upuri tiek viltoti skenēt ļaunprātīgus QR kodus, kas izskatās kā likumīgi Signal grupas uzaicinājumi vai norādījumi par ierīču savienošanu pārī. Pēc skenēšanas uzbrucēja ierīce tiek slepeni pievienota upura signāla kontam kā “saistītā ierīce”.

Kopš šī brīža visi ziņojumi — gan nosūtītie, gan saņemtie — tiek atspoguļoti reāllaikā uzbrucēja sistēmā. Tādējādi tiek apieta Signal spēcīgā šifrēšana, jo uzbrucēji tagad ir autorizēti dalībnieki, nepārkāpjot šifrēšanu, bet slepeni pievienojoties sarunai.

Mandiant ziņojumā uzsvērts, ka:

  • Ir novērots, ka Krievijas APT grupas, kas ir saistītas ar Kremli, izmanto šo metodi pikšķerēšanas uzbrukumos, kas vērsti pret militārpersonām, politiķiem, žurnālistiem un aktīvistiem — personām, kuras parasti paļaujas uz signālu, lai nodrošinātu drošus sakarus.
  • Šīs pikšķerēšanas lapas bieži atdarina Signal oficiālo saskarni vai tiek uzskatītas par uzticamām lietotnēm, piemēram, Ukrainas armijas artilērijas vadības rīku Kropyva.
  • Kaujas lauka scenārijos Krievijas spēki ir pieķerti, izmantojot notvertas ierīces, lai saistītu signālu kontus ar saviem serveriem izlūkdatu vākšanai.

Neredzamā piekļuve: kāpēc šī izmantošana ir tik bīstama

Viens no šī uzbrukuma visvairāk satraucošajiem aspektiem ir tas, cik kluss tas darbojas. Signālu lietotāji parasti nesaņem nekādus pamanāmus brīdinājumus, kad jauna ierīce ir saistīta ar viņu kontu. Tas ļauj hakeriem uzturēt ilgstošu uzraudzību bez atklāšanas.

Mandiant apraksta paņēmienu kā “sākotnējās piekļuves veidu ar zemu parakstu”, kas nozīmē, ka tā atstāj dažas pēdas. Aktīvi nepārbaudot savus “Saistīto ierīču” iestatījumus, upuri vairākus mēnešus vai pat ilgāk var nezināt, ka viņu privātās sarunas tiek pārraidītas naidīgiem dalībniekiem.

Plašāks mērķis: WhatsApp un Telegram arī riskam

Lai gan pašlaik uzmanības centrā ir signāls, Mandiant uzsver, ka šāda veida saistītie ierīču uzbrukumi nav unikāli signālam. Krievu hakeri izmanto līdzīgu taktiku pret citām plaši izmantotām ziņojumapmaiņas lietotnēm, tostarp WhatsApp un Telegram.

Visas šīs lietotnes nodrošina vairāku ierīču sinhronizāciju, un šajā procesā ērtībai bieži tiek izmantoti QR kodi, tādējādi padarot tās gatavas ļaunprātīgai izmantošanai pikšķerēšanas rezultātā.

Reālās pasaules spiegošana: militārie un politiskie mērķi

Šķiet, ka uzbrucēji galvenokārt koncentrējas uz izlūkdatu vākšanu no vērtīgām personām un grupām, tostarp:

  • Ukrainas militārpersonas
  • Eiropas politiķi
  • Pētnieciskie žurnālisti
  • Cilvēktiesību aktīvisti

Vienā īpaši izsmalcinātā operācijā Krievijas bēdīgi slavenā Sandworm hakeru grupa izmantoja šo paņēmienu kaujas laukā. Pēc ienaidnieka karavīru tālruņu sagrābšanas viņi savienoja ierīces ar savu infrastruktūru, ļaujot viņiem reāllaikā izspiegot militāros sakarus.

Pazīmes, ka jūs varētu tikt apdraudēts

Tā kā šī uzbrukuma metode ir paredzēta klusai, pašpārbaudei ir izšķiroša nozīme. Tālāk ir norādītas dažas darbības, lai noteiktu un novērstu nesankcionētu piekļuvi.

  1. Regulāri pārskatiet saistītās ierīces: atveriet lietotni Signal, dodieties uz Iestatījumi → Saistītās ierīces un rūpīgi pārbaudiet sarakstu. Ja redzat nepazīstamu ierīci, nekavējoties atsaistiet to.
  • Iespējot ekrāna bloķēšanu: tālrunī izmantojiet garu, sarežģītu paroli. Tas apgrūtina ierīces saistīšanu, ja viņi īslaicīgi iegūst fizisku piekļuvi.
  • Esiet atjaunināts: vienmēr instalējiet jaunāko Signal un citu ziņojumapmaiņas lietotņu versiju. Atjauninājumi bieži ietver drošības uzlabojumus, kas var samazināt uzbrukuma virsmas.
  • Sargieties no QR kodiem: izturieties pret negaidītiem QR kodiem ar aizdomām, pat ja šķiet, ka tie nāk no uzticama avota. Pirms skenēšanas pārbaudiet grupas ielūgumus tieši ar sūtītāju.
  • Izmantojiet daudzfaktoru autentifikāciju (MFA): lai gan pats signāls neatbalsta MFA ierīču saistīšanai, divu faktoru autentifikācijas iespējošana viedtālruņa mākoņdatošanas dublējumos un kontos var nodrošināt papildu aizsardzības līmeni.

    • Kas signāla lietotājiem tagad jādara

    Mandiant ziņojums ir satraucošs atgādinājums, ka neviena lietotne nav pasargāta no ekspluatācijas, jo īpaši, ja saskaras ar nacionālo valstu dalībniekiem ar milzīgiem resursiem. Signāla pilnīga šifrēšana joprojām ir stabila, taču šis uzbrukums apiet šifrēšanu, izmantojot cilvēka uzvedību un lietotnes ierīču sinhronizācijas ērtības.

    Ja strādājat sensitīvā profesijā vai dzīvojat reģionā ar aktīviem novērošanas draudiem, signāla drošības iestatījumu pārbaudei jākļūst par regulāru ieradumu.

    Drošības eksperti uzsver, ka galvenais ir modrība:

    • Augsta riska lietotājiem (militārpersonām, žurnālistiem, aktīvistiem) katru nedēļu jāpārbauda saistītās ierīces.
    • Izvairieties no QR kodu skenēšanas, ja vien neesat pilnīgi pārliecināts par to avotu.
    • Ziņojiet par aizdomīgiem ziņojumiem vai pikšķerēšanas mēģinājumiem savas organizācijas IT komandai vai kiberdrošības nodrošinātājam.

    Jauns klusās novērošanas laikmets

    Signāla “saistīto ierīču” funkcijas izmantošana iezīmē vēsu attīstību valsts atbalstītā kiberspiegošanā. Atšķirībā no ļaunprātīgas programmatūras, kas atstāj pēdas vai izjauc sistēmas, šī metode darbojas klusi, iekļaujoties fonā, vienlaikus novirzot sensitīvas sarunas Krievijas izlūkdienestiem.

    Notiek ielāde...