Tin tặc Nga khai thác tính năng 'Thiết bị liên kết' của Signal để theo dõi các cuộc trò chuyện được mã hóa
Các chuyên gia an ninh mạng đang lên tiếng báo động sau khi phát hiện ra một chiến dịch tấn công mạng bí mật do nhóm tin tặc do nhà nước Nga tài trợ nhằm chiếm đoạt tài khoản Signal Messenger để nghe lén các cuộc trò chuyện riêng tư được mã hóa theo thời gian thực.
Trong một cuộc điều tra mới công bố, các nhà nghiên cứu bảo mật từ Mandiant, một bộ phận của Google, cảnh báo rằng nhiều nhóm APT (Advanced Persistent Threat) của Nga đã phát triển một phương pháp mạnh mẽ để xâm phạm tính năng "thiết bị được liên kết" của Signal — một khả năng quan trọng cho phép người dùng đồng bộ hóa ứng dụng nhắn tin an toàn của họ trên nhiều điện thoại, máy tính bảng hoặc máy tính.
Tuy nhiên, sự tiện lợi này đang bị bóp méo thành một vũ khí nguy hiểm. Bằng cách khai thác các thiết bị được liên kết, tin tặc có thể vô hình khai thác vào tài khoản của nạn nhân và theo dõi các tin nhắn được mã hóa của họ mà không phá vỡ mã hóa đầu cuối của Signal. Sau khi có được quyền truy cập, mọi tin nhắn đều được sao chép trực tiếp đến kẻ tấn công—mà mục tiêu không bao giờ biết.
Mục lục
Cách thức tấn công: Lừa đảo bằng mã QR và chiếm quyền điều khiển thiết bị
Phương pháp của tin tặc dựa vào sự lừa dối. Nạn nhân bị lừa quét mã QR độc hại trông giống như lời mời nhóm Signal hợp lệ hoặc hướng dẫn ghép nối thiết bị. Sau khi quét, thiết bị của kẻ tấn công được thêm bí mật vào tài khoản Signal của nạn nhân dưới dạng "thiết bị được liên kết".
Từ thời điểm đó, tất cả tin nhắn—cả đã gửi và đã nhận—đều được phản ánh theo thời gian thực đến hệ thống của kẻ tấn công. Điều này bỏ qua mã hóa mạnh mẽ của Signal vì kẻ tấn công hiện là người tham gia được ủy quyền, không phá vỡ mã hóa mà lén lút tham gia cuộc trò chuyện.
Báo cáo của Mandiant nhấn mạnh rằng:
- Các nhóm APT của Nga có liên kết với Điện Kremlin đã được phát hiện sử dụng phương pháp này trong các cuộc tấn công lừa đảo nhắm vào quân nhân, chính trị gia, nhà báo và nhà hoạt động - những cá nhân thường dựa vào Signal để liên lạc an toàn.
- Các trang lừa đảo này thường bắt chước giao diện chính thức của Signal hoặc giả mạo các ứng dụng đáng tin cậy như công cụ dẫn đường pháo binh của quân đội Ukraine, Kropyva.
- Trong các tình huống chiến trường, quân đội Nga đã bị phát hiện sử dụng các thiết bị thu được để liên kết tài khoản Signal với máy chủ của họ để thu thập thông tin tình báo.
Truy cập vô hình: Tại sao lỗ hổng này lại nguy hiểm đến vậy
Một trong những khía cạnh đáng lo ngại nhất của cuộc tấn công này là cách nó hoạt động lặng lẽ. Người dùng Signal thường không nhận được bất kỳ cảnh báo đáng chú ý nào khi một thiết bị mới được liên kết với tài khoản của họ. Điều này cho phép tin tặc duy trì giám sát lâu dài mà không bị phát hiện.
Mandiant mô tả kỹ thuật này là "hình thức truy cập ban đầu có chữ ký thấp", nghĩa là nó để lại ít dấu vết. Nếu không chủ động kiểm tra cài đặt "Thiết bị được liên kết", nạn nhân có thể không biết trong nhiều tháng—hoặc thậm chí lâu hơn—rằng các cuộc trò chuyện riêng tư của họ đang bị phát sóng cho những kẻ thù địch.
Mục tiêu rộng hơn: WhatsApp và Telegram cũng có nguy cơ
Trong khi Signal là trọng tâm hiện tại, Mandiant nhấn mạnh rằng loại tấn công thiết bị liên kết này không chỉ xảy ra với Signal. Tin tặc Nga đang triển khai các chiến thuật tương tự đối với các ứng dụng nhắn tin được sử dụng rộng rãi khác, bao gồm WhatsApp và Telegram.
Tất cả các ứng dụng này đều cho phép đồng bộ hóa nhiều thiết bị và quá trình này thường liên quan đến mã QR để thuận tiện, khiến chúng dễ bị lợi dụng thông qua lừa đảo.
Gián điệp trong thế giới thực: Mục tiêu quân sự và chính trị
Mục tiêu chính của những kẻ tấn công dường như là thu thập thông tin tình báo từ các cá nhân và nhóm có giá trị cao, bao gồm:
- Quân nhân Ukraina
- Các chính trị gia châu Âu
- Các nhà báo điều tra
- Các nhà hoạt động nhân quyền
Một hoạt động đặc biệt tinh vi đã chứng kiến nhóm tin tặc khét tiếng Sandworm của Nga tận dụng kỹ thuật này trên chiến trường. Sau khi chiếm được điện thoại của binh lính địch, chúng liên kết các thiết bị với cơ sở hạ tầng của chúng, cho phép chúng do thám thông tin liên lạc quân sự theo thời gian thực.
Dấu hiệu bạn có thể bị xâm phạm
Vì phương pháp tấn công này được thiết kế để im lặng nên việc tự kiểm tra là rất quan trọng. Sau đây là một số bước để phát hiện và ngăn chặn truy cập trái phép:
- Kiểm tra thường xuyên các thiết bị được liên kết: Mở ứng dụng Signal, vào Cài đặt → Thiết bị được liên kết và kiểm tra cẩn thận danh sách. Nếu bạn thấy một thiết bị lạ, hãy hủy liên kết ngay lập tức.
Người dùng Signal nên làm gì ngay bây giờ
Báo cáo của Mandiant là lời nhắc nhở nghiêm túc rằng không có ứng dụng nào miễn nhiễm với khai thác, đặc biệt là khi đối mặt với các tác nhân quốc gia có nguồn lực lớn. Mã hóa đầu cuối của Signal vẫn mạnh mẽ, nhưng cuộc tấn công này bỏ qua mã hóa bằng cách khai thác hành vi của con người và sự tiện lợi khi đồng bộ hóa thiết bị của ứng dụng.
Nếu bạn làm nghề nhạy cảm hoặc sống ở khu vực có nhiều mối đe dọa giám sát, việc kiểm tra cài đặt bảo mật Signal của bạn nên trở thành thói quen thường xuyên.
Các chuyên gia an ninh nhấn mạnh rằng sự cảnh giác là chìa khóa:
- Người dùng có nguy cơ cao (quân nhân, nhà báo, nhà hoạt động) nên kiểm tra các thiết bị được liên kết hàng tuần.
- Tránh quét mã QR trừ khi hoàn toàn chắc chắn về nguồn gốc của chúng.
- Báo cáo tin nhắn đáng ngờ hoặc hành vi lừa đảo cho nhóm CNTT hoặc nhà cung cấp dịch vụ an ninh mạng của tổ chức bạn.
Một kỷ nguyên mới của sự giám sát thầm lặng
Việc khai thác tính năng "thiết bị liên kết" của Signal đánh dấu một sự tiến hóa đáng sợ trong hoạt động gián điệp mạng do nhà nước hậu thuẫn. Không giống như phần mềm độc hại để lại dấu vết hoặc phá vỡ hệ thống, phương pháp này hoạt động lặng lẽ, ẩn mình trong nền trong khi chuyển các cuộc trò chuyện nhạy cảm đến các cơ quan tình báo Nga.