俄羅斯駭客利用 Signal 的「連結設備」功能監視加密對話
網路安全專家發現,俄羅斯政府支持的攻擊者秘密發動駭客活動,劫持 Signal Messenger 帳戶,即時竊聽私人加密對話,這引起了警方的警惕。
在最新發布的調查中,Google旗下 Mandiant 部門的安全研究人員警告稱,多個俄羅斯高級持續性威脅 (APT) 組織已經開發出一種強大的方法來破壞 Signal 的「連結設備」功能 — — 這是一項關鍵功能,允許用戶在多部手機、平板電腦或電腦之間同步他們的安全訊息應用程式。
然而,這種便利性正被扭曲成一種危險的武器。透過利用連結設備,駭客可以無形中侵入受害者的帳戶並監控他們的加密訊息,而不會破壞 Signal 的端對端加密。一旦獲得存取權限,每個訊息都會直接複製給攻擊者——而目標對象卻毫不知情。
目錄
攻擊工作原理:二維碼釣魚和設備劫持
黑客的手段依賴欺騙。受害者被誘騙掃描看起來像是合法 Signal 群組邀請或裝置配對說明的惡意二維碼。一旦掃描完成,攻擊者的設備就會被秘密添加到受害者的 Signal 帳戶作為「連結設備」。
從那一刻起,所有訊息(包括發送的和接收的)都會即時鏡像到攻擊者的系統中。這會繞過 Signal 的強大加密,因為攻擊者現在是授權參與者,他們不會破解加密,而是秘密加入對話。
Mandiant 的報告強調:
- 與克里姆林宮結盟的俄羅斯 APT 組織被發現使用這種方法進行網路釣魚攻擊,針對軍事人員、政客、記者和活動家——這些人通常依靠 Signal 進行安全通訊。
- 這些網路釣魚頁面通常模仿 Signal 的官方介面或冒充可信任應用程序,如烏克蘭軍方的砲兵導引工具 Kropyva。
- 在戰場上,俄羅斯軍隊被發現使用被繳獲的設備將 Signal 帳戶連結回他們的伺服器以收集情報。
隱形存取:為何此漏洞如此危險
這次襲擊最令人擔憂的一個方面是它進行得多麼悄無聲息。當新裝置連結到其帳戶時,Signal 使用者通常不會收到任何明顯的警報。這使得駭客可以進行長期監視而不被發現。
Mandiant 將這項技術描述為“低特徵初始訪問形式”,這意味著它留下的痕跡很少。如果不主動檢查「連結設備」設置,受害者可能會在數月甚至更長時間內都不會意識到他們的私人談話已被廣播給敵對分子。
更廣泛的目標:WhatsApp 和 Telegram 也面臨風險
雖然 Signal 是目前的重點,但 Mandiant 強調,這種類型的連結設備攻擊並非 Signal 獨有。俄羅斯駭客正在對其他廣泛使用的訊息應用程式(包括 WhatsApp 和 Telegram)部署類似的策略。
所有這些應用程式都允許多設備同步,為了方便起見,該過程通常涉及二維碼——這使得它們很容易透過網路釣魚進行濫用。
現實世界的間諜活動:軍事與政治目標
攻擊者的主要重點似乎是收集高價值個人和團體的情報,其中包括:
- 烏克蘭軍事人員
- 歐洲政界人士
- 調查記者
- 人權活動者
在一次特別複雜的行動中,俄羅斯臭名昭著的「沙蟲」駭客組織在戰場上利用了這種技術。在捕獲敵軍的手機後,他們將這些設備連接到敵軍的基礎設施,從而能夠即時監視軍事通訊。
你可能受到威脅的跡象
由於這種攻擊方法的設計目的是靜默的,因此自我檢查至關重要。以下是偵測和防止未經授權存取的一些步驟:
- 定期檢查連結設備:打開您的 Signal 應用程序,前往設定 → 連結設備,然後仔細檢查清單。如果您看到不熟悉的設備,請立即取消連結。
訊號用戶現在應該做什麼
Mandiant 的報告警醒我們,沒有任何應用程式能夠免受攻擊——尤其是在面對擁有大量資源的國家行為者時。 Signal 的端對端加密仍然很強大,但這次攻擊利用人類行為和應用程式的裝置同步便利性來繞過加密。
如果您從事敏感職業或居住在有主動監視威脅的地區,審核您的 Signal 安全設定應該成為一種常規習慣。
安全專家強調警覺是關鍵:
- 高風險使用者(軍事人員、記者、活動家)應每週檢查連結設備。
- 除非絕對確定二維碼的來源,否則請避免掃描二維碼。
- 向您組織的 IT 團隊或網路安全供應商報告可疑訊息或網路釣魚嘗試。
靜默監視的新時代
Signal 的「連結設備」功能的利用標誌著國家支持的網路間諜活動的令人不寒而慄的演變。與留下痕跡或破壞系統的惡意軟體不同,這種方法運作安靜,融入後台,同時將敏感對話傳遞給俄羅斯情報機構。