Oferta rabatowa na wiele licencji
Bezpieczeństwo komputerowe Rosyjscy hakerzy wykorzystują funkcję „Linked Devices”...

Rosyjscy hakerzy wykorzystują funkcję „Linked Devices” Signal do szpiegowania zaszyfrowanych rozmów

Do Mura w Bezpieczeństwo komputerowe
Przetłumacz na:
Polski

Eksperci ds. cyberbezpieczeństwa biją na alarm po odkryciu ukrytej kampanii hakerskiej prowadzonej przez hakerów sponsorowanych przez rosyjskie państwo, którzy przejmują konta Signal Messenger, aby podsłuchiwać prywatne, szyfrowane rozmowy w czasie rzeczywistym.

W niedawno opublikowanym dochodzeniu badacze ds. bezpieczeństwa z Mandiant, oddziału Google, ostrzegają, że wiele rosyjskich grup zajmujących się zaawansowanym trwałym zagrożeniem (APT) opracowało skuteczną metodę złamania zabezpieczeń funkcji „połączonych urządzeń” w Signal — kluczowej możliwości, która umożliwia użytkownikom synchronizację bezpiecznej aplikacji do przesyłania wiadomości na wielu telefonach, tabletach i komputerach.

Jednak ta wygoda jest przekręcana w niebezpieczną broń. Wykorzystując połączone urządzenia, hakerzy mogą niewidocznie wkraczać na konta ofiar i monitorować ich zaszyfrowane wiadomości bez łamania szyfrowania typu end-to-end Signal. Po uzyskaniu dostępu każda wiadomość jest kopiowana bezpośrednio do atakujących — bez wiedzy celu.

Jak działa atak: phishing przy użyciu kodu QR i przejęcie urządzenia

Metoda hakerów opiera się na oszustwie. Ofiary są oszukiwane i skanowane przez złośliwe kody QR, które wyglądają jak legalne zaproszenia do grupy Signal lub instrukcje parowania urządzeń. Po zeskanowaniu urządzenie atakujących jest potajemnie dodawane do konta Signal ofiary jako „powiązane urządzenie”.

Od tego momentu wszystkie wiadomości — zarówno wysłane, jak i odebrane — są w czasie rzeczywistym przesyłane do systemu atakującego. Omija to solidne szyfrowanie Signal, ponieważ atakujący są teraz autoryzowanymi uczestnikami, nie łamiącymi szyfrowania, ale dyskretnie dołączającymi do konwersacji.

Raport Mandianta podkreśla, że:

  • Rosyjskie grupy APT działające w porozumieniu z Kremlem stosowały tę metodę w atakach phishingowych wymierzonych w personel wojskowy, polityków, dziennikarzy i aktywistów — osoby, które zazwyczaj polegają na Signal w celu bezpiecznej komunikacji.
  • Strony phishingowe często imitują oficjalny interfejs Signal lub podszywają się pod zaufane aplikacje, takie jak Kropyva, narzędzie do naprowadzania artylerii armii ukraińskiej.
  • W scenariuszach na polu bitwy wojska rosyjskie zostały przyłapane na używaniu przejętych urządzeń do łączenia kont Signal ze swoimi serwerami w celu zbierania informacji wywiadowczych.

Niewidoczny dostęp: dlaczego ten exploit jest tak niebezpieczny

Jednym z najbardziej niepokojących aspektów tego ataku jest to, jak cicho działa. Użytkownicy Signal zazwyczaj nie otrzymują żadnych zauważalnych alertów, gdy nowe urządzenie jest połączone z ich kontem. Pozwala to hakerom na prowadzenie długoterminowego nadzoru bez wykrycia.

Mandiant opisuje tę technikę jako „formę początkowego dostępu o niskim podpisie”, co oznacza, że pozostawia niewiele śladów. Bez aktywnego sprawdzania ustawień „połączonych urządzeń” ofiary mogą przez miesiące — a nawet dłużej — nie zdawać sobie sprawy, że ich prywatne rozmowy są transmitowane wrogim aktorom.

Szerszy cel: WhatsApp i Telegram również zagrożone

Podczas gdy Signal jest obecnie w centrum uwagi, Mandiant podkreśla, że ten typ ataku na połączone urządzenia nie jest unikalny dla Signal. Rosyjscy hakerzy stosują podobne taktyki przeciwko innym powszechnie używanym aplikacjom do przesyłania wiadomości, w tym WhatsApp i Telegram.

Wszystkie te aplikacje umożliwiają synchronizację między wieloma urządzeniami, a proces ten często wiąże się z wykorzystaniem kodów QR, co dla wygody czyni je podatnymi na nadużycia za pomocą phishingu.

Szpiegostwo w świecie rzeczywistym: cele wojskowe i polityczne

Głównym celem atakujących wydaje się być zbieranie informacji wywiadowczych od osób i grup o dużym znaczeniu, w tym:

  • Ukraiński personel wojskowy
  • Europejscy politycy
  • Dziennikarze śledczy
  • Aktywiści praw człowieka

W jednej szczególnie wyrafinowanej operacji niesławna rosyjska grupa hakerska Sandworm wykorzystała tę technikę na polu bitwy. Po przejęciu telefonów wrogich żołnierzy połączyli urządzenia z ich infrastrukturą, co umożliwiło im szpiegowanie komunikacji wojskowej w czasie rzeczywistym.

Znaki, że możesz być zagrożony

Ponieważ ta metoda ataku jest zaprojektowana tak, aby była cicha, samokontrola jest kluczowa. Oto kilka kroków w celu wykrycia i zapobiegania nieautoryzowanemu dostępowi:

  1. Regularnie sprawdzaj połączone urządzenia: Otwórz aplikację Signal, przejdź do Ustawienia → Połączone urządzenia i dokładnie sprawdź listę. Jeśli zobaczysz nieznane urządzenie, natychmiast je odłącz.
  • Włącz blokadę ekranu: Użyj długiego, złożonego hasła na swoim telefonie. Utrudnia to komuś powiązanie urządzenia, jeśli uzyska krótkotrwały dostęp fizyczny.
  • Bądź na bieżąco: Zawsze instaluj najnowszą wersję Signal i innych aplikacji do przesyłania wiadomości. Aktualizacje często obejmują ulepszenia zabezpieczeń, które mogą zmniejszyć powierzchnie ataku.
  • Uważaj na kody QR: Podchodź z podejrzliwością do nieoczekiwanych kodów QR, nawet jeśli wydają się pochodzić ze sprawdzonego źródła. Przed zeskanowaniem zweryfikuj zaproszenia do grupy bezpośrednio u nadawcy.
  • Użyj uwierzytelniania wieloskładnikowego (MFA): Chociaż sama aplikacja Signal nie obsługuje uwierzytelniania wieloskładnikowego w celu łączenia urządzeń, włączenie uwierzytelniania dwuskładnikowego w kopiach zapasowych w chmurze i na kontach smartfona może zapewnić dodatkową warstwę ochrony.

    • Co użytkownicy Signal powinni teraz zrobić

    Raport Mandianta to trzeźwiące przypomnienie, że żadna aplikacja nie jest odporna na eksploatację — zwłaszcza gdy stajemy w obliczu podmiotów państwowych dysponujących ogromnymi zasobami. Szyfrowanie typu end-to-end Signal pozostaje solidne, ale ten atak omija szyfrowanie, wykorzystując ludzkie zachowanie i wygodę synchronizacji urządzeń przez aplikację.

    Jeśli wykonujesz zawód o charakterze wrażliwym lub mieszkasz w regionie, w którym występuje aktywny nadzór, regularne sprawdzanie ustawień zabezpieczeń Signal powinno stać się Twoim nawykiem.

    Eksperci ds. bezpieczeństwa podkreślają, że kluczowe znaczenie ma czujność:

    • Użytkownicy wysokiego ryzyka (żołnierze, dziennikarze, aktywiści) powinni sprawdzać podłączone urządzenia co tydzień.
    • Unikaj skanowania kodów QR, jeśli nie masz absolutnej pewności co do ich pochodzenia.
    • Zgłaszaj podejrzane wiadomości lub próby phishingu zespołowi IT swojej organizacji lub dostawcy usług cyberbezpieczeństwa.

    Nowa era cichego nadzoru

    Wykorzystanie funkcji „połączonych urządzeń” Signal oznacza przerażającą ewolucję w cybernetycznym szpiegostwie wspieranym przez państwo. W przeciwieństwie do złośliwego oprogramowania, które pozostawia ślady lub zakłóca działanie systemów, ta metoda działa cicho, wtapiając się w tło, a jednocześnie kierując wrażliwe rozmowy do rosyjskich agencji wywiadowczych.

    Ładowanie...