Rosja używa Signala do szpiegowania ukraińskich żołnierzy

Eksperci Google’a wykryli wzmożone działania grup wspieranych przez Rosję, których celem jest naruszenie bezpieczeństwa kont użytkowników Signala. W ich kręgu zainteresowania znajdują się osoby mające znaczenie z perspektywy putinowskich służb specjalnych.

Signal narzędziem żołnierzy

W raporcie Google Threat Intelligence Group stwierdzono, że uwaga atakujących skupiona na wspomnianych wyżej użytkownikach komunikatora ma najpewniej związek z inwazją na Ukrainę i chęcią uzyskania dostępu do poufnych informacji. Według specjalistów koncernu, w niedalekiej przyszłości kampania może jednak wyjść poza Ukrainę, obejmując osoby z innych państw. 

Jak czytamy, Signal jest atrakcyjny z perspektywy atakujących, ponieważ zyskał na popularności wśród m.in. żołnierzy czy polityków. Nie powinno zatem dziwić, że jego użytkownicy stali się celem operacji szpiegowskich.

Operacja szpiegowska w „białych rękawiczkach”

W ramach kampanii hakerzy stosują różne metody. Jedną z nich są wiadomości phishingowe rozsyłane do ofiar, aby zainfekować ich urządzenia złośliwym oprogramowaniem. 

Inną, opisaną przez Google’a, jest wykorzystanie funkcji „połączonych urządzeń”, którą oferuje Signal (dzięki niej można używać aplikacji na wielu urządzeniach równocześnie). W jaki sposób działają hakerzy?

Przede wszystkim należy wyjaśnić, że aby sparować nowe urządzenie, należy zeskanować specjalny kod QR. I właśnie to wykorzystują atakujący: tworzą fałszywe kody, które w praktyce służą do połączenia konta ofiary z kontem kontrolowanym przez hakerów. Efekt? 

Wiadomości będą przychodzić równocześnie na urządzenie ofiary, jak i atakującego. W ten sposób nie musi dochodzić do przełamania zabezpieczeń, aby prowadzić skuteczną operację szpiegowską.

Signal na froncie. Rosja szpieguje Ukraińców

Przykładowo, grupa Sandworm (APT44) powiązana z rosyjskim GRU, działa w ten sposób, aby umożliwić siłom zbrojnym dostęp do kont Signala na urządzeniach przechwyconych na froncie.

Google wymienia również hakerów Turli, UNC5792, UNC4221 i UNC1151 (wszystkie powiązane z Rosją) jako tych, którzy wykorzystują komunikator do prowadzenia operacji szpiegowskich.

Strony phishingowi z wojskowymi apkami

Wspomniane fałsze kody QR są rozsyłane w formie np. alertów bezpieczeństwa, zaproszeń do grup czy instrukcji parowania urządzeń rzekomo pochodzących od Signala. 

W bardziej dopracowanych atakach osadzane są na stronach phishingowych, przypominających witryny ze specjalistycznymi aplikacjami ukraińskiego wojska (np. Kropyva). Wszystko po to, aby osłabić czujność użytkowników i zyskać dostęp do cennych informacji.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].