Çoklu Lisans İndirim Teklifi
Bilgisayar Güvenliği Rus Hackerlar, Şifrelenmiş Konuşmaları Casusluk Etmek...

Rus Hackerlar, Şifrelenmiş Konuşmaları Casusluk Etmek İçin Signal'in 'Bağlantılı Cihazlar' Özelliğini Kullandı

Mura'de Bilgisayar Güvenliği'de
Çevir:
Türkçe

Siber güvenlik uzmanları, Rusya devlet destekli saldırganların, Signal Messenger hesaplarını ele geçirerek özel ve şifreli konuşmaları gerçek zamanlı olarak dinledikleri gizli bir bilgisayar korsanlığı kampanyasını ortaya çıkarmasının ardından alarma geçti.

Google'ın bir bölümü olan Mandiant'tan güvenlik araştırmacıları, yeni yayınlanan bir araştırmada, çok sayıda Rus Gelişmiş Sürekli Tehdit (APT) grubunun, Signal'in "bağlantılı cihazlar" özelliğini tehlikeye atmak için güçlü bir yöntem geliştirdiği konusunda uyarıyor. Bu özellik, kullanıcıların güvenli mesajlaşma uygulamalarını birden fazla telefon, tablet veya bilgisayar arasında senkronize etmelerine olanak tanıyan önemli bir özellik.

Ancak bu kolaylık tehlikeli bir silaha dönüştürülüyor. Bağlantılı cihazları istismar ederek, bilgisayar korsanları kurbanların hesaplarına görünmez bir şekilde erişebilir ve Signal'in uçtan uca şifrelemesini kırmadan şifrelenmiş mesajlarını izleyebilir. Erişim sağlandığında, her mesaj doğrudan saldırganlara kopyalanır; hedef bunu asla bilmez.

Saldırı Nasıl İşliyor: QR Kod Kimlik Avı ve Cihaz Ele Geçirme

Bilgisayar korsanlarının yöntemi aldatmaya dayanır. Mağdurlar, meşru Signal grup davetleri veya cihaz eşleştirme talimatları gibi görünen kötü amaçlı QR kodlarını taramaya kandırılır. Tarandıktan sonra, saldırganların cihazı gizlice kurbanın Signal hesabına "bağlantılı cihaz" olarak eklenir.

O andan itibaren, gönderilen ve alınan tüm mesajlar gerçek zamanlı olarak saldırganın sistemine yansıtılır. Bu, Signal'in sağlam şifrelemesini aşar çünkü saldırganlar artık yetkili bir katılımcıdır, şifrelemeyi kırmaz, gizlice sohbete katılır.

Mandiant'ın raporunda şu vurgulanıyor:

  • Kremlin'e bağlı Rus APT gruplarının, askeri personel, politikacılar, gazeteciler ve aktivistleri hedef alan kimlik avı saldırılarında bu yöntemi kullandığı görülüyor. Bu kişiler, güvenli iletişim için genellikle Signal'e güveniyor.
  • Bu kimlik avı sayfaları çoğunlukla Signal'in resmi arayüzünü taklit ediyor veya Ukrayna ordusunun topçu rehberlik aracı Kropyva gibi güvenilir uygulamalar gibi görünüyor.
  • Savaş alanındaki senaryolarda, Rus kuvvetlerinin ele geçirilen cihazları istihbarat toplamak amacıyla Signal hesaplarını kendi sunucularına bağlamak için kullandıkları tespit edildi.

Görünmez Erişim: Bu İstismar Neden Bu Kadar Tehlikeli?

Bu saldırının en endişe verici yönlerinden biri ne kadar sessiz çalıştığıdır. Signal kullanıcıları genellikle hesaplarına yeni bir cihaz bağlandığında fark edilir bir uyarı almazlar. Bu, bilgisayar korsanlarının tespit edilmeden uzun vadeli gözetimi sürdürmelerine olanak tanır.

Mandiant bu tekniği "ilk erişimin düşük imzalı bir biçimi" olarak tanımlıyor, yani geride çok az iz bırakıyor. "Bağlantılı Cihazlar" ayarlarını etkin bir şekilde kontrol etmeden, kurbanlar özel konuşmalarının düşman aktörlere yayınlandığının aylarca -veya daha uzun süre- farkında olmayabilir.

Daha Geniş Hedef: WhatsApp ve Telegram da Risk Altında

Şu anda odak noktası Signal olsa da Mandiant, bu tür bağlantılı cihaz saldırılarının Signal'e özgü olmadığını vurguluyor. Rus bilgisayar korsanları, WhatsApp ve Telegram dahil olmak üzere yaygın olarak kullanılan diğer mesajlaşma uygulamalarına karşı benzer taktikler kullanıyor.

Tüm bu uygulamalar, çoklu cihaz senkronizasyonuna izin veriyor ve bu işlem genellikle kolaylık sağlaması açısından QR kodlarını içeriyor; bu da onları kimlik avı yoluyla kötüye kullanıma açık hale getiriyor.

Gerçek Dünya Casusluğu: Askeri ve Politik Hedefler

Saldırganların temel odak noktasının, aşağıdakiler de dahil olmak üzere yüksek değerli bireylerden ve gruplardan istihbarat toplamak olduğu görülüyor:

  • Ukrayna askeri personeli
  • Avrupa politikacıları
  • Araştırmacı gazeteciler
  • İnsan hakları aktivistleri

Özellikle karmaşık bir operasyonda Rusya'nın kötü şöhretli Sandworm hacker grubu bu tekniği savaş alanında kullandı. Düşman askerlerinin telefonlarını ele geçirdikten sonra, cihazları altyapılarına bağladılar ve böylece askeri iletişimleri gerçek zamanlı olarak gözetleyebildiler.

Tehlikeye Girdiğinize Dair İşaretler

Bu saldırı yöntemi sessiz olacak şekilde tasarlandığından, kendi kendini denetlemek çok önemlidir. İşte yetkisiz erişimi tespit etmek ve engellemek için bazı adımlar:

  1. Bağlantılı Cihazları Düzenli Olarak İnceleyin: Signal uygulamanızı açın, Ayarlar → Bağlantılı Cihazlar'a gidin ve listeyi dikkatlice inceleyin. Bilmediğiniz bir cihaz görürseniz, hemen bağlantısını kaldırın.
  • Ekran Kilidini Etkinleştir: Telefonunuzda uzun ve karmaşık bir parola kullanın. Bu, birisinin kısa süreliğine fiziksel erişim elde etmesi durumunda cihazı bağlamasını zorlaştırır.
  • Güncel Kalın: Her zaman Signal ve diğer mesajlaşma uygulamalarının en son sürümünü yükleyin. Güncellemeler genellikle saldırı yüzeylerini azaltabilecek güvenlik iyileştirmeleri içerir.
  • QR Kodlarına Dikkat: Güvenilir bir kaynaktan geliyormuş gibi görünseler bile, beklenmeyen QR kodlarına şüpheyle yaklaşın. Grup davetlerini taramadan önce doğrudan göndericiyle doğrulayın.
  • Çok Faktörlü Kimlik Doğrulamayı (MFA) kullanın: Signal, cihazları bağlamak için çok faktörlü kimlik doğrulamayı desteklemese de akıllı telefonunuzun bulut yedeklemelerinde ve hesaplarında iki faktörlü kimlik doğrulamayı etkinleştirmek ekstra bir savunma katmanı sağlayabilir.

    • Signal Kullanıcılarının Şimdi Ne Yapması Gerekiyor?

    Mandiant'ın raporu, hiçbir uygulamanın istismara karşı bağışık olmadığının ayıklatıcı bir hatırlatıcısıdır; özellikle de geniş kaynaklara sahip ulus-devlet aktörleriyle karşı karşıyayken. Signal'in uçtan uca şifrelemesi sağlam kalmaya devam ediyor, ancak bu saldırı, insan davranışını ve uygulamanın cihaz senkronizasyon kolaylığını istismar ederek şifrelemeyi atlatıyor.

    Hassas bir meslekte çalışıyorsanız veya aktif gözetim tehditlerinin olduğu bir bölgede yaşıyorsanız, Signal güvenlik ayarlarınızı denetlemek düzenli bir alışkanlık haline gelmelidir.

    Güvenlik uzmanları, dikkatli olmanın çok önemli olduğunu vurguluyor:

    • Yüksek risk taşıyan kullanıcılar (askerler, gazeteciler, aktivistler) bağlı cihazları haftada bir kontrol etmelidir.
    • Kaynağından kesinlikle emin olmadığınız sürece QR kodlarını taramaktan kaçının.
    • Şüpheli mesajları veya kimlik avı girişimlerini kuruluşunuzun BT ekibine veya siber güvenlik sağlayıcısına bildirin.

    Sessiz Gözetimin Yeni Dönemi

    Signal'in "bağlantılı cihazlar" özelliğinin istismarı, devlet destekli siber casuslukta ürpertici bir evrimi işaret ediyor. İz bırakan veya sistemleri bozan kötü amaçlı yazılımların aksine, bu yöntem sessizce çalışır, hassas konuşmaları Rus istihbarat teşkilatlarına iletirken arka plana karışır.

    Yükleniyor...