Rabattoffert för flera licenser
Datorsäkerhet Ryska hackare utnyttjar Signals "länkade...

Ryska hackare utnyttjar Signals "länkade enheter"-funktion för att spionera på krypterade konversationer

Med Mura år Datorsäkerhet
Översätt till:
Svenska

Cybersäkerhetsexperter larmar efter att ha avslöjat en smygande hackningskampanj av ryska statssponsrade angripare som kapar Signal Messenger-konton för att avlyssna privata, krypterade konversationer i realtid.

I en nyligen släppt undersökning varnar säkerhetsforskare från Mandiant, en division av Google, för att flera ryska Advanced Persistent Threat-grupper (APT) har utvecklat en kraftfull metod för att äventyra Signals "länkade enheter"-funktion – en nyckelfunktion som låter användare synkronisera sin säkra meddelandeapp mellan flera telefoner, surfplattor eller datorer.

Men denna bekvämlighet förvandlas till ett farligt vapen. Genom att utnyttja länkade enheter kan hackare osynligt utnyttja offrens konton och övervaka deras krypterade meddelanden utan att bryta Signals end-to-end-kryptering. När man väl har fått tillgång kopieras varje meddelande direkt till angriparna – utan att målet någonsin vet.

Hur attacken fungerar: QR-kodsfiske och enhetskapning

Hackarnas metod bygger på bedrägeri. Offren luras att skanna skadliga QR-koder som ser ut som legitima signalgruppinbjudningar eller instruktioner för enhetsparning. När angriparens enhet har skannats läggs den i hemlighet till offrets signalkonto som en "länkad enhet".

Från det ögonblicket speglas alla meddelanden – både skickade och mottagna – i realtid till angriparens system. Detta kringgår Signals robusta kryptering eftersom angriparna nu är en auktoriserad deltagare som inte bryter krypteringen utan smyger med i konversationen.

Mandiants rapport visar att:

  • Ryska APT-grupper i linje med Kreml har setts använda denna metod i nätfiskeattacker riktade mot militär personal, politiker, journalister och aktivister – individer som vanligtvis förlitar sig på Signal för säker kommunikation.
  • Dessa nätfiskesidor härmar ofta Signals officiella gränssnitt eller poserar som pålitliga appar som den ukrainska militärens artillerivägledningsverktyg, Kropyva.
  • I slagfältsscenarier har ryska styrkor fångats med att använda fångade enheter för att länka tillbaka signalkonton till sina servrar för insamling av underrättelser.

Osynlig åtkomst: Varför detta utnyttjande är så farligt

En av de mest oroande aspekterna av denna attack är hur tyst den fungerar. Signalanvändare får vanligtvis inga märkbara varningar när en ny enhet är länkad till deras konto. Detta gör att hackare kan upprätthålla långtidsövervakning utan upptäckt.

Mandiant beskriver tekniken som en "lågsignaturform av initial åtkomst", vilket betyder att den lämnar få spår efter sig. Utan att aktivt kontrollera sina "Länkade enheter"-inställningar kan offer förbli omedvetna i månader – eller till och med längre – om att deras privata konversationer sänds till fientliga aktörer.

Bredare mål: WhatsApp och Telegram i riskzonen också

Medan Signal är det aktuella fokuset, betonar Mandiant att den här typen av attacker med länkade enheter inte är unika för Signal. Ryska hackare använder liknande taktik mot andra allmänt använda meddelandeappar, inklusive WhatsApp och Telegram.

Alla dessa appar tillåter synkronisering med flera enheter, och processen involverar ofta QR-koder för bekvämlighet – vilket gör dem mogna för missbruk genom nätfiske.

Real-World Spionage: Militära och politiska mål

Angriparnas primära fokus verkar vara att samla in intelligens från högt värdefulla individer och grupper, inklusive:

  • ukrainsk militär personal
  • europeiska politiker
  • Undersökande journalister
  • Människorättsaktivister

En särskilt sofistikerad operation såg Rysslands ökända Sandworm-hackningsgrupp utnyttja denna teknik på slagfältet. Efter att ha fångat fiendens soldaters telefoner kopplade de enheterna till sin infrastruktur, vilket gjorde det möjligt för dem att spionera på militär kommunikation i realtid.

Tecken på att du kan äventyras

Eftersom denna attackmetod är designad för att vara tyst är självkontroll avgörande. Här är några steg för att upptäcka och förhindra obehörig åtkomst:

  1. Granska länkade enheter regelbundet: Öppna din Signal-app, gå till Inställningar → Länkade enheter och inspektera listan noggrant. Om du ser en obekant enhet, ta bort länken omedelbart.
  • Aktivera skärmlås: Använd ett långt, komplext lösenord på din telefon. Detta gör det svårare för någon att länka en enhet om de kortvarigt får fysisk åtkomst.
  • Håll dig uppdaterad: Installera alltid den senaste versionen av Signal och andra meddelandeappar. Uppdateringar inkluderar ofta säkerhetsförbättringar som kan minska attackytor.
  • Se upp för QR-koder: Behandla oväntade QR-koder med misstänksamhet, även om de verkar komma från en pålitlig källa. Verifiera gruppinbjudningar direkt med avsändaren innan du skannar.
  • Använd Multi-Factor Authentication (MFA): Även om Signal i sig inte stöder MFA för att länka enheter, kan tvåfaktorsautentisering på din smartphones molnsäkerhetskopior och konton ge ett extra lager av försvar.

    • Vad signalanvändare bör göra nu

    Mandiants rapport är en nykter påminnelse om att ingen app är immun mot exploatering – speciellt när man står inför nationalstatliga aktörer med enorma resurser. Signals end-to-end-kryptering förblir robust, men denna attack kringgår kryptering genom att utnyttja mänskligt beteende och appens enhetssynkroniseringsbekvämlighet.

    Om du arbetar i ett känsligt yrke eller bor i en region med aktiva övervakningshot, bör det bli en vanlig vana att granska dina signalsäkerhetsinställningar.

    Säkerhetsexperter betonar att vaksamhet är nyckeln:

    • Högriskanvändare (militär personal, journalister, aktivister) bör kontrollera länkade enheter varje vecka.
    • Undvik att skanna QR-koder om du inte är helt säker på källan.
    • Rapportera misstänkta meddelanden eller nätfiskeförsök till din organisations IT-team eller cybersäkerhetsleverantör.

    En ny era av tyst övervakning

    Utnyttjandet av Signals "länkade enheter"-funktion markerar en häftig utveckling inom statsstödd cyberspionage. Till skillnad från skadlig programvara som lämnar spår eller stör system, fungerar den här metoden tyst och smälter in i bakgrunden samtidigt som känsliga konversationer kanaliseras till ryska underrättelsetjänster.

    Läser in...