แฮกเกอร์ชาวรัสเซียใช้ประโยชน์จากฟีเจอร์ 'อุปกรณ์เชื่อมโยง' ของ Signal เพื่อสอดส่องการสนทนาที่เข้ารหัส

โดย Mura ใน ความปลอดภัยทางคอมพิวเตอร์

แปลเป็น:

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์กำลังส่งสัญญาณเตือน หลังจากเปิดเผยแคมเปญแฮ็กที่แฝงตัวโดยผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย ซึ่งเข้าไปขโมยบัญชี Signal Messenger เพื่อแอบฟังการสนทนาที่เข้ารหัสส่วนตัวแบบเรียลไทม์

จากการสืบสวนที่เพิ่งเปิดเผยใหม่ นักวิจัยด้านความปลอดภัยจาก Mandiant ซึ่งเป็นแผนกหนึ่งของ Google ได้ออกมาเตือนว่ากลุ่มภัยคุกคามขั้นสูงต่อเนื่อง (APT) ของรัสเซียหลายกลุ่มได้พัฒนาวิธีการอันทรงพลังเพื่อเจาะระบบฟีเจอร์ “อุปกรณ์ที่เชื่อมโยง” ของ Signal ซึ่งเป็นความสามารถหลักที่ช่วยให้ผู้ใช้สามารถซิงค์แอปการส่งข้อความที่ปลอดภัยข้ามโทรศัพท์ แท็บเล็ต หรือคอมพิวเตอร์หลายเครื่องได้

อย่างไรก็ตาม ความสะดวกนี้กำลังถูกบิดเบือนให้กลายเป็นอาวุธอันตราย โดยการใช้ประโยชน์จากอุปกรณ์ที่เชื่อมโยงกัน แฮกเกอร์สามารถดักฟังบัญชีของเหยื่อได้อย่างไม่เปิดเผย และเฝ้าติดตามข้อความที่เข้ารหัสของพวกเขา โดยไม่ทำลายการเข้ารหัสแบบ end-to-end ของ Signal เมื่อเข้าถึงได้แล้ว ข้อความทั้งหมดจะถูกคัดลอกไปยังผู้โจมตีโดยตรง โดยที่เป้าหมายไม่รู้ตัวเลย

สารบัญ

กลไกการโจมตี: การหลอกลวงด้วยรหัส QR และการแฮ็กอุปกรณ์

วิธีการของแฮกเกอร์นั้นอาศัยการหลอกลวง เหยื่อจะถูกหลอกให้สแกนรหัส QR ที่เป็นอันตรายซึ่งดูเหมือนคำเชิญเข้าร่วมกลุ่ม Signal ที่ถูกต้องตามกฎหมายหรือคำแนะนำในการจับคู่อุปกรณ์ เมื่อสแกนแล้ว อุปกรณ์ของผู้โจมตีจะถูกเพิ่มลงในบัญชี Signal ของเหยื่ออย่างลับๆ ในฐานะ "อุปกรณ์ที่เชื่อมโยง"

ตั้งแต่นั้นเป็นต้นมา ข้อความทั้งหมด ทั้งที่ส่งและรับ จะถูกมิเรอร์แบบเรียลไทม์ไปยังระบบของผู้โจมตี การกระทำดังกล่าวจะข้ามการเข้ารหัสอันแข็งแกร่งของ Signal เนื่องจากผู้โจมตีกลายเป็นผู้เข้าร่วมที่ได้รับอนุญาตแล้ว โดยจะไม่ทำลายการเข้ารหัส แต่เข้าร่วมการสนทนาอย่างลับๆ

รายงานของ Mandiant เน้นย้ำว่า:

พบว่ากลุ่ม APT ของรัสเซียที่ร่วมมือกับเครมลินใช้การโจมตีแบบฟิชชิ่งโดยกำหนดเป้าหมายไปที่เจ้าหน้าที่ทหาร นักการเมือง นักข่าว และนักเคลื่อนไหว ซึ่งเป็นบุคคลที่มักอาศัย Signal เพื่อการสื่อสารที่ปลอดภัย
หน้าฟิชชิ่งเหล่านี้มักเลียนแบบอินเทอร์เฟซอย่างเป็นทางการของ Signal หรือแอบอ้างเป็นแอปที่น่าเชื่อถือ เช่น เครื่องมือแนะนำปืนใหญ่ของกองทัพยูเครนที่ชื่อว่า Kropyva
ในสถานการณ์สมรภูมิ กองกำลังรัสเซียถูกจับได้ว่าใช้อุปกรณ์ที่ยึดมาได้เพื่อเชื่อมโยงบัญชี Signal กลับไปยังเซิร์ฟเวอร์เพื่อรวบรวมข่าวกรอง

การเข้าถึงที่มองไม่เห็น: เหตุใดการใช้ประโยชน์นี้จึงอันตรายมาก

สิ่งที่น่ากังวลที่สุดประการหนึ่งของการโจมตีนี้คือการทำงานที่เงียบมาก ผู้ใช้ Signal มักจะไม่ได้รับการแจ้งเตือนใดๆ เมื่อมีอุปกรณ์ใหม่เชื่อมโยงกับบัญชีของตน ซึ่งทำให้แฮกเกอร์สามารถเฝ้าติดตามได้ในระยะยาวโดยไม่ถูกตรวจจับ

Mandiant อธิบายเทคนิคนี้ว่าเป็น “รูปแบบการเข้าถึงเริ่มต้นที่มีลายเซ็นน้อย” ซึ่งหมายความว่าเทคนิคนี้แทบไม่ทิ้งร่องรอยใดๆ ไว้เลย หากไม่ตรวจสอบการตั้งค่า “อุปกรณ์ที่เชื่อมโยง” อย่างจริงจัง เหยื่ออาจไม่รู้เป็นเวลาหลายเดือนหรืออาจจะนานกว่านั้นว่าบทสนทนาส่วนตัวของตนกำลังถูกถ่ายทอดไปยังผู้ไม่ประสงค์ดี

เป้าหมายที่กว้างขึ้น: WhatsApp และ Telegram ก็มีความเสี่ยงเช่นกัน

แม้ว่า Signal จะเป็นจุดสนใจในปัจจุบัน แต่ Mandiant เน้นย้ำว่าการโจมตีอุปกรณ์ที่เชื่อมโยงกันประเภทนี้ไม่ได้เกิดขึ้นเฉพาะกับ Signal เท่านั้น แฮกเกอร์ชาวรัสเซียกำลังใช้กลวิธีที่คล้ายกันกับแอปส่งข้อความอื่นๆ ที่ใช้กันอย่างแพร่หลาย รวมถึง WhatsApp และ Telegram

แอปเหล่านี้ทั้งหมดอนุญาตให้ซิงโครไนซ์อุปกรณ์หลายเครื่อง และกระบวนการนี้มักเกี่ยวข้องกับรหัส QR เพื่อความสะดวก ซึ่งทำให้รหัสเหล่านี้เสี่ยงต่อการถูกละเมิดผ่านฟิชชิ่ง

การจารกรรมในโลกแห่งความเป็นจริง: เป้าหมายทางการทหารและการเมือง

ดูเหมือนว่าจุดสนใจหลักของผู้โจมตีจะอยู่ที่การรวบรวมข่าวกรองจากบุคคลและกลุ่มที่มีคุณค่าสูง ซึ่งรวมถึง:

บุคลากรทางทหารยูเครน
นักการเมืองยุโรป
นักข่าวสายสืบสวน
นักเคลื่อนไหวด้านสิทธิมนุษยชน

หนึ่งในปฏิบัติการที่ซับซ้อนเป็นพิเศษคือ กลุ่มแฮกเกอร์ Sandworm ที่มีชื่อเสียงของรัสเซียซึ่งใช้เทคนิคนี้ในสนามรบ หลังจากยึดโทรศัพท์ของทหารฝ่ายศัตรูได้แล้ว พวกเขาเชื่อมโยงอุปกรณ์เข้ากับโครงสร้างพื้นฐาน ทำให้สามารถสอดส่องการสื่อสารของทหารได้แบบเรียลไทม์

สัญญาณที่บ่งบอกว่าคุณอาจตกอยู่ในอันตราย

เนื่องจากวิธีการโจมตีนี้ได้รับการออกแบบมาให้เงียบ การตรวจสอบตัวเองจึงมีความสำคัญอย่างยิ่ง ต่อไปนี้เป็นขั้นตอนบางประการในการตรวจจับและป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต:

ตรวจสอบอุปกรณ์ที่เชื่อมโยงเป็นประจำ: เปิดแอป Signal ของคุณ ไปที่ การตั้งค่า → อุปกรณ์ที่เชื่อมโยง และตรวจสอบรายการอย่างละเอียด หากคุณเห็นอุปกรณ์ที่ไม่คุ้นเคย ให้ยกเลิกการเชื่อมโยงทันที

เปิดใช้งานการล็อกหน้าจอ: ใช้รหัสผ่านที่ยาวและซับซ้อนบนโทรศัพท์ของคุณ ซึ่งจะทำให้ผู้อื่นเชื่อมโยงอุปกรณ์ได้ยากขึ้นหากเข้าถึงอุปกรณ์ได้เพียงชั่วครู่

คอยอัปเดตอยู่เสมอ: ติดตั้ง Signal เวอร์ชันล่าสุดและแอปส่งข้อความอื่นๆ อยู่เสมอ การอัปเดตมักรวมถึงการปรับปรุงด้านความปลอดภัยที่สามารถลดพื้นที่การโจมตีได้

ระวังรหัส QR: ระวังรหัส QR ที่ไม่คาดคิด แม้ว่าจะดูเหมือนมาจากแหล่งที่เชื่อถือได้ก็ตาม ตรวจสอบคำเชิญกลุ่มโดยตรงกับผู้ส่งก่อนทำการสแกน

ใช้การตรวจสอบปัจจัยหลายประการ (MFA): แม้ว่า Signal เองจะไม่รองรับ MFA ในการเชื่อมโยงอุปกรณ์ แต่การเปิดใช้การตรวจสอบปัจจัยสองประการในการสำรองข้อมูลบนคลาวด์และบัญชีของสมาร์ทโฟนของคุณสามารถให้การป้องกันอีกชั้นหนึ่งได้

สิ่งที่ผู้ใช้ Signal ควรทำตอนนี้

รายงานของ Mandiant เป็นการเตือนสติว่าไม่มีแอปใดที่ไม่ถูกใช้ประโยชน์โดยเฉพาะอย่างยิ่งเมื่อต้องเผชิญหน้ากับผู้กระทำความผิดในชาติที่มีทรัพยากรมากมาย การเข้ารหัสแบบ end-to-end ของ Signal ยังคงแข็งแกร่ง แต่การโจมตีนี้เลี่ยงการเข้ารหัสโดยใช้ประโยชน์จากพฤติกรรมของมนุษย์และความสะดวกในการซิงค์อุปกรณ์ของแอป

หากคุณอยู่ในอาชีพที่มีความละเอียดอ่อนหรืออาศัยอยู่ในภูมิภาคที่มีภัยคุกคามจากการเฝ้าระวัง การตรวจสอบการตั้งค่าความปลอดภัยของ Signal ควรกลายเป็นนิสัยประจำ

ผู้เชี่ยวชาญด้านความปลอดภัยเน้นย้ำว่าการเฝ้าระวังเป็นสิ่งสำคัญ:

ผู้ใช้ที่มีความเสี่ยงสูง (บุคลากรทางทหาร นักข่าว นักเคลื่อนไหว) ควรตรวจสอบอุปกรณ์ที่เชื่อมโยงเป็นประจำทุกสัปดาห์
หลีกเลี่ยงการสแกนรหัส QR เว้นแต่จะแน่ใจแน่ชัดถึงแหล่งที่มา
รายงานข้อความที่น่าสงสัยหรือความพยายามฟิชชิ่งไปยังทีมไอทีหรือผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ขององค์กรของคุณ

ยุคใหม่ของการเฝ้าติดตามอย่างเงียบๆ

การใช้ประโยชน์จากฟีเจอร์ "อุปกรณ์เชื่อมโยง" ของ Signal ถือเป็นวิวัฒนาการที่น่าสะพรึงกลัวในวงการจารกรรมทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐ ซึ่งแตกต่างจากมัลแวร์ที่ทิ้งร่องรอยหรือรบกวนระบบ วิธีนี้ทำงานอย่างเงียบๆ โดยกลมกลืนไปกับพื้นหลังในขณะที่ส่งต่อบทสนทนาที่ละเอียดอ่อนไปยังหน่วยข่าวกรองของรัสเซีย

ค้นหา

เปลี่ยนภูมิภาค