Ruski hekerji izkoriščajo Signalovo funkcijo 'povezanih naprav' za vohunjenje za šifriranimi pogovori

Strokovnjaki za kibernetsko varnost sprožajo alarme, potem ko so odkrili prikrito hekersko kampanjo ruskih državno sponzoriranih napadalcev, ki ugrabijo račune Signal Messenger za prisluškovanje zasebnim, šifriranim pogovorom v realnem času.

V nedavno objavljeni preiskavi varnostni raziskovalci iz Mandianta, oddelka Googla, opozarjajo, da je več ruskih skupin za napredne trajne grožnje (APT) razvilo zmogljivo metodo za ogrožanje funkcije »povezanih naprav« Signala – ključne zmogljivosti, ki uporabnikom omogoča sinhronizacijo njihove aplikacije za varno sporočanje v več telefonih, tablicah ali računalnikih.

Vendar se to udobje spreminja v nevarno orožje. Z izkoriščanjem povezanih naprav lahko hekerji nevidno vdrejo v račune žrtev in spremljajo njihova šifrirana sporočila, ne da bi zlomili Signalovo šifriranje od konca do konca. Ko je dostop pridobljen, se vsako sporočilo kopira neposredno napadalcem, ne da bi tarča sploh vedela.

Kako deluje napad: lažno predstavljanje kode QR in ugrabitev naprave

Metoda hekerjev temelji na prevari. Žrtve so zavedene v skeniranje zlonamernih kod QR, ki so videti kot legitimna povabila skupine Signal ali navodila za seznanjanje naprav. Ko je naprava skenirana, je napadalčeva naprava skrivaj dodana žrtvinemu računu Signal kot »povezana naprava«.

Od tega trenutka naprej se vsa sporočila – poslana in prejeta – v realnem času zrcalijo v napadalčev sistem. To zaobide robustno šifriranje Signala, ker so napadalci zdaj pooblaščeni udeleženci, ne zlomijo šifriranja, ampak se prikrito pridružijo pogovoru.

Mandiantovo poročilo poudarja, da:

• Ruske skupine APT, povezane s Kremljem, so opazili, da to metodo uporabljajo pri napadih z lažnim predstavljanjem, ki ciljajo na vojaško osebje, politike, novinarje in aktiviste – posameznike, ki se za varno komunikacijo običajno zanašajo na Signal.
• Te strani z lažnim predstavljanjem pogosto posnemajo uradni vmesnik Signala ali se predstavljajo kot zaupanja vredne aplikacije, kot je orodje za usmerjanje topništva ukrajinske vojske Kropyva.
• V scenarijih na bojišču so ruske sile ujeli pri uporabi zajetih naprav za povezovanje računov Signal nazaj s svojimi strežniki za zbiranje obveščevalnih podatkov.

Nevidni dostop: Zakaj je ta podvig tako nevaren

Eden najbolj zaskrbljujočih vidikov tega napada je, kako tiho deluje. Uporabniki signala običajno ne prejmejo nobenih opaznih opozoril, ko je nova naprava povezana z njihovim računom. To hekerjem omogoča dolgoročen nadzor brez odkritja.

Mandiant opisuje tehniko kot "obliko začetnega dostopa z nizkim podpisom", kar pomeni, da za seboj pušča malo sledi. Brez aktivnega preverjanja nastavitev »povezanih naprav« lahko žrtve mesece ali celo dlje ne vedo, da se njihovi zasebni pogovori predvajajo sovražnim akterjem.

Širši cilj: ogrožena sta tudi WhatsApp in Telegram

Čeprav je trenutno v središču pozornosti Signal, Mandiant poudarja, da ta vrsta napada na povezane naprave ni edinstvena za Signal. Ruski hekerji uporabljajo podobne taktike proti drugim široko uporabljanim aplikacijam za sporočanje, vključno z WhatsAppom in Telegramom.

Vse te aplikacije omogočajo sinhronizacijo v več napravah, postopek pa pogosto vključuje kode QR za udobje, zaradi česar so zrele za zlorabo z lažnim predstavljanjem.

Vohunjenje v resničnem svetu: vojaške in politične tarče

Zdi se, da je glavni cilj napadalcev zbiranje obveščevalnih podatkov od visoko vrednih posameznikov in skupin, vključno z:

• Ukrajinsko vojaško osebje
• evropski politiki
• Raziskovalni novinarji
• Borci za človekove pravice

V eni posebej prefinjeni operaciji je razvpita ruska hekerska skupina Sandworm uporabila to tehniko na bojišču. Potem ko so zajeli telefone sovražnih vojakov, so naprave povezali z njihovo infrastrukturo in jim omogočili vohunjenje za vojaškimi komunikacijami v realnem času.

Znaki, da ste lahko ogroženi

Ker je ta metoda napada tiha, je samopreverjanje ključnega pomena. Tukaj je nekaj korakov za odkrivanje in preprečevanje nepooblaščenega dostopa:

1. Redno pregledujte povezane naprave: odprite aplikacijo Signal, pojdite na Nastavitve → Povezane naprave in natančno preglejte seznam. Če opazite neznano napravo, jo takoj prekinite.

Kaj naj uporabniki signala storijo zdaj

Mandiantovo poročilo je trezen opomin, da nobena aplikacija ni imuna na izkoriščanje – še posebej, ko se soočamo z akterji iz nacionalne države z ogromnimi viri. Signalovo šifriranje od konca do konca ostaja robustno, vendar ta napad zaobide šifriranje z izkoriščanjem človeškega vedenja in priročnosti aplikacije za sinhronizacijo naprave.

Če ste v občutljivem poklicu ali živite v regiji z aktivnimi grožnjami nadzora, bi morala revizija vaših varnostnih nastavitev Signala postati redna navada.

Varnostni strokovnjaki poudarjajo, da je pazljivost ključna:

• Uporabniki z visokim tveganjem (vojaško osebje, novinarji, aktivisti) morajo tedensko preverjati povezane naprave.
• Izogibajte se skeniranju kod QR, razen če niste povsem prepričani o njihovem izvoru.
• Prijavite sumljiva sporočila ali poskuse lažnega predstavljanja IT ekipi vaše organizacije ali ponudniku kibernetske varnosti.

Nova doba tihega nadzora

Izkoriščanje Signalove funkcije »povezanih naprav« označuje srhljiv razvoj kibernetskega vohunjenja, ki ga podpira država. Za razliko od zlonamerne programske opreme, ki pušča sledi ali moti sisteme, ta metoda deluje tiho, se zlije z ozadjem, medtem ko občutljive pogovore usmerja ruskim obveščevalnim agencijam.