Russiske hackere utnytter Signals 'Linked Devices'-funksjon for å spionere på krypterte samtaler

Eksperter på nettsikkerhet slår alarm etter å ha avslørt en snikende hackingkampanje av russiske statssponsede angripere som kaprer Signal Messenger-kontoer for å avlytte private, krypterte samtaler i sanntid.

I en nylig utgitt undersøkelse advarer sikkerhetsforskere fra Mandiant, en avdeling av Google, at flere russiske Advanced Persistent Threat (APT)-grupper har utviklet en kraftig metode for å kompromittere Signals «linked devices»-funksjon – en nøkkelfunksjon som lar brukere synkronisere sin sikre meldingsapp på tvers av flere telefoner, nettbrett eller datamaskiner.

Imidlertid blir denne bekvemmeligheten vridd til et farlig våpen. Ved å utnytte tilknyttede enheter kan hackere usynlig tappe inn i ofrenes kontoer og overvåke deres krypterte meldinger uten å bryte Signals ende-til-ende-kryptering. Når tilgang er oppnådd, kopieres hver melding direkte til angriperne – uten at målet noen gang vet det.

Hvordan angrepet fungerer: QR-kode-phishing og enhetskapring

Hackernes metode er avhengig av bedrag. Ofre blir lurt til å skanne ondsinnede QR-koder som ser ut som legitime signalgruppeinvitasjoner eller instruksjoner om enhetsparing. Når den er skannet, blir angriperens enhet i hemmelighet lagt til offerets Signal-konto som en "koblet enhet".

Fra det øyeblikket blir alle meldinger – både sendt og mottatt – speilet i sanntid til angriperens system. Dette omgår Signals robuste kryptering fordi angriperne nå er en autorisert deltaker, som ikke bryter krypteringen, men blir snikende med i samtalen.

Mandiants rapport fremhever at:

• Russiske APT-grupper på linje med Kreml har blitt sett på å bruke denne metoden i phishing-angrep rettet mot militært personell, politikere, journalister og aktivister – individer som vanligvis stoler på Signal for sikker kommunikasjon.
• Disse phishing-sidene etterligner ofte Signals offisielle grensesnitt eller poserer som pålitelige apper som det ukrainske militærets artilleriveiledningsverktøy, Kropyva.
• I scenarier på slagmarken har russiske styrker blitt tatt med å bruke innfangede enheter for å koble signalkontoer tilbake til serverne deres for etterretningsinnhenting.

Usynlig tilgang: Hvorfor denne utnyttelsen er så farlig

En av de mest bekymringsfulle aspektene ved dette angrepet er hvor stille det fungerer. Signalbrukere mottar vanligvis ingen merkbare varsler når en ny enhet er koblet til kontoen deres. Dette gjør at hackere kan opprettholde langsiktig overvåking uten oppdagelse.

Mandiant beskriver teknikken som en "lavsignaturform for innledende tilgang", noe som betyr at den etterlater få spor. Uten å aktivt sjekke innstillingene for «Koblede enheter», kan ofre forbli uvitende i flere måneder – eller enda lenger – at deres private samtaler blir kringkastet til fiendtlige aktører.

Bredere mål: WhatsApp og Telegram i fare også

Mens Signal er det nåværende fokuset, understreker Mandiant at denne typen linked-device-angrep ikke er unik for Signal. Russiske hackere bruker lignende taktikker mot andre mye brukte meldingsapper, inkludert WhatsApp og Telegram.

Alle disse appene tillater synkronisering av flere enheter, og prosessen involverer ofte QR-koder for enkelhets skyld – noe som gjør dem modne for misbruk gjennom phishing.

Real-World Spionage: Militære og politiske mål

Angripernes primære fokus ser ut til å være å samle etterretninger fra enkeltpersoner og grupper av høy verdi, inkludert:

• ukrainsk militærpersonell
• Europeiske politikere
• Undersøkende journalister
• Menneskerettighetsaktivister

En spesielt sofistikert operasjon så Russlands beryktede Sandworm-hackinggruppe utnytte denne teknikken på slagmarken. Etter å ha fanget fiendtlige soldaters telefoner, koblet de enhetene til deres infrastruktur, slik at de kunne spionere på militær kommunikasjon i sanntid.

Tegn på at du kan bli kompromittert

Siden denne angrepsmetoden er utformet for å være stille, er selvkontroll avgjørende. Her er noen trinn for å oppdage og forhindre uautorisert tilgang:

1. Gjennomgå koblede enheter regelmessig: Åpne Signal-appen, gå til Innstillinger → Koblede enheter , og inspiser listen nøye. Hvis du ser en ukjent enhet, fjern tilknytningen umiddelbart.

Hva signalbrukere bør gjøre nå

Mandiants rapport er en nøktern påminnelse om at ingen app er immun mot utnyttelse – spesielt når de står overfor nasjonalstatsaktører med enorme ressurser. Signals ende-til-ende-kryptering forblir robust, men dette angrepet omgår kryptering ved å utnytte menneskelig atferd og appens bekvemmelighet for enhetssynkronisering.

Hvis du er i et sensitivt yrke eller bor i en region med aktive overvåkingstrusler, bør revisjon av signalsikkerhetsinnstillingene bli en vanlig vane.

Sikkerhetseksperter understreker at årvåkenhet er nøkkelen:

• Høyrisikobrukere (militært personell, journalister, aktivister) bør sjekke tilknyttede enheter ukentlig.
• Unngå å skanne QR-koder med mindre du er helt sikker på kilden.
• Rapporter mistenkelige meldinger eller phishing-forsøk til organisasjonens IT-team eller nettsikkerhetsleverandør.

En ny æra med stille overvåking

Utnyttelsen av Signals «koblede enheter»-funksjon markerer en skremmende utvikling innen statsstøttet nettspionasje. I motsetning til skadelig programvare som etterlater spor eller forstyrrer systemer, fungerer denne metoden stille og smelter inn i bakgrunnen mens den sender sensitive samtaler til russiske etterretningsbyråer.