Ruskí hackeri využívajú funkciu „prepojených zariadení“ signálu na špehovanie šifrovaných konverzácií

Experti na kybernetickú bezpečnosť vyvolávajú poplach po odhalení tajnej hackerskej kampane zo strany útočníkov sponzorovaných ruským štátom, ktorí ukradnú účty Signal Messenger, aby mohli odpočúvať súkromné, šifrované konverzácie v reálnom čase.

V nedávno zverejnenom vyšetrovaní bezpečnostní výskumníci z Mandiant, divízie Google, varujú, že viaceré ruské skupiny Advanced Persistent Threat (APT) vyvinuli účinnú metódu na kompromitáciu funkcie „prepojených zariadení“ Signal – kľúčovej schopnosti, ktorá používateľom umožňuje synchronizovať ich aplikáciu na bezpečné odosielanie správ medzi viacerými telefónmi, tabletmi alebo počítačmi.

Z tejto vymoženosti sa však stáva nebezpečná zbraň. Zneužívaním prepojených zariadení môžu hackeri neviditeľne preniknúť do účtov obetí a monitorovať ich šifrované správy bez toho, aby prelomili end-to-end šifrovanie Signalu. Po získaní prístupu sa každá správa skopíruje priamo útočníkom – bez toho, aby o tom cieľ vedel.

Ako funguje útok: Phishing s QR kódom a únos zariadenia

Metóda hackerov sa spolieha na podvod. Obete sú oklamané, aby naskenovali škodlivé QR kódy, ktoré vyzerajú ako legitímne pozvánky do skupiny Signal alebo pokyny na párovanie zariadení. Po naskenovaní sa zariadenie útočníkov tajne pridá do účtu Signal obete ako „prepojené zariadenie“.

Od tohto momentu sa všetky správy – odoslané aj prijaté – zrkadlia v reálnom čase do systému útočníka. Toto obchádza robustné šifrovanie Signal, pretože útočníci sú teraz autorizovanými účastníkmi, ktorí neporušujú šifrovanie, ale tajne sa pripájajú ku konverzácii.

Mandiantova správa zdôrazňuje, že:

• Ruské skupiny APT spojené s Kremľom boli pozorované pri používaní tejto metódy pri phishingových útokoch zameraných na vojenský personál, politikov, novinárov a aktivistov – jednotlivcov, ktorí sa bežne spoliehajú na signál pre zabezpečenú komunikáciu.
• Tieto phishingové stránky často napodobňujú oficiálne rozhranie Signalu alebo sa vydávajú za dôveryhodné aplikácie, ako je napríklad delostrelecký navádzací nástroj ukrajinskej armády Kropyva.
• V scenároch na bojiskách boli ruské sily prichytené pomocou zajatých zariadení na prepojenie účtov Signal späť so svojimi servermi na zhromažďovanie spravodajských informácií.

Invisible Access: Prečo je tento Exploit taký nebezpečný

Jedným z najviac znepokojujúcich aspektov tohto útoku je, ako ticho funguje. Používatelia signálu zvyčajne nedostávajú žiadne viditeľné upozornenia, keď je s ich účtom prepojené nové zariadenie. To umožňuje hackerom udržiavať dlhodobý dohľad bez detekcie.

Mandiant popisuje túto techniku ako „formu počiatočného prístupu s nízkym podpisom“, čo znamená, že zanecháva za sebou niekoľko stôp. Bez aktívnej kontroly ich nastavení „Prepojených zariadení“ si obete môžu mesiace – alebo aj dlhšie – neuvedomovať, že ich súkromné rozhovory sa vysielajú nepriateľským aktérom.

Širší cieľ: WhatsApp a telegram v ohrození

Zatiaľ čo Signal je v súčasnosti zameraná, Mandiant zdôrazňuje, že tento typ útoku prepojeného zariadenia nie je jedinečný pre Signal. Ruskí hackeri používajú podobné taktiky proti iným široko používaným aplikáciám na odosielanie správ, vrátane WhatsApp a Telegram.

Všetky tieto aplikácie umožňujú synchronizáciu viacerých zariadení a tento proces často zahŕňa QR kódy pre pohodlie, vďaka čomu sú zrelé na zneužitie prostredníctvom phishingu.

Špionáž v reálnom svete: Vojenské a politické ciele

Zdá sa, že primárnym zameraním útočníkov je získavanie spravodajských informácií od vysokohodnotných jednotlivcov a skupín vrátane:

• ukrajinský vojenský personál
• európskych politikov
• Investigatívni novinári
• Ľudskoprávni aktivisti

Jedna obzvlášť sofistikovaná operácia videla, ako známa ruská hackerská skupina Sandworm využívala túto techniku na bojisku. Po zachytení telefónov nepriateľských vojakov prepojili zariadenia s ich infraštruktúrou, čo im umožnilo špehovať vojenskú komunikáciu v reálnom čase.

Známky, že by ste mohli byť ohrození

Keďže tento spôsob útoku je navrhnutý tak, aby bol tichý, samokontrola je kľúčová. Tu je niekoľko krokov na zistenie a zabránenie neoprávnenému prístupu:

1. Pravidelne kontrolujte prepojené zariadenia: Otvorte aplikáciu Signal, prejdite do časti Nastavenia → Prepojené zariadenia a pozorne si prezrite zoznam. Ak uvidíte neznáme zariadenie, okamžite ho odpojte.

Čo by teraz mali robiť používatelia signálu

Mandiantova správa je triezvou pripomienkou, že žiadna aplikácia nie je imúnna voči vykorisťovaniu – najmä keď čelí národným štátom s obrovskými zdrojmi. End-to-end šifrovanie signálu zostáva robustné, ale tento útok obchádza šifrovanie využívaním ľudského správania a pohodlia aplikácie pri synchronizácii zariadenia.

Ak ste v citlivej profesii alebo žijete v regióne s aktívnymi hrozbami sledovania, auditovanie nastavení zabezpečenia signálu by sa malo stať pravidelným zvykom.

Bezpečnostní experti zdôrazňujú, že kľúčom je ostražitosť:

• Vysoko rizikoví používatelia (vojenský personál, novinári, aktivisti) by mali prepojené zariadenia kontrolovať každý týždeň.
• Vyhnite sa skenovaniu QR kódov, pokiaľ si nie ste úplne istí ich zdrojom.
• Nahláste podozrivé správy alebo pokusy o phishing IT tímu vašej organizácie alebo poskytovateľovi kybernetickej bezpečnosti.

Nová éra tichého dohľadu

Využitie funkcie „prepojených zariadení“ Signal znamená mrazivý vývoj v štátom podporovanej kyberšpionáži. Na rozdiel od malvéru, ktorý zanecháva stopy alebo narúša systémy, táto metóda funguje potichu, splýva s pozadím a zároveň vedie citlivé rozhovory k ruským spravodajským agentúram.