Amerykanie ostrzegają przed operacją wywiadowczą Rosji

Rosyjskie operacje wymierzone w użytkowników komercyjnych komunikatorów (np. Signala, WhatsAppa i innych platform szyfrowanej komunikacji) stanowią obecnie jeden z najbardziej wyrazistych przykładów ewolucji współczesnych działań wywiadowczych w środowisku cyfrowym.

Jak podaje w komunikacie amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA), rosyjskie służby koncentrują się nie na łamaniu zabezpieczeń technologicznych aplikacji, lecz na przejmowaniu kont użytkowników poprzez socjotechnikę.

Szyfrowanie end-to-end pozostaje nienaruszone, a kluczowym celem staje się użytkownik jako najsłabsze ogniwo systemu bezpieczeństwa. 

Jak podkreślimy na naszych łamach, operacje te polegają na manipulowaniu użytkownikami, a nie na przełamywaniu zabezpieczeń kryptograficznych. 

Zgodnie z ustaleniami FBI, przytoczonymi przez CBSAustin, kluczowym narzędziem wykorzystywanym przez rosyjskich aktorów są ukierunkowane kampanie phishingowe, których celem jest wyłudzenie kodów weryfikacyjnych, PIN-ów oraz danych uwierzytelniających.

FBI: Rosja przejęła tysiące kont

W ostrzeżeniu Internet Crime Complaint Center wskazano, że kampania ma charakter globalny i doprowadziła do przejęcia tysięcy kont użytkowników. Informację tę potwierdzają także media międzynarodowe. 

Działania są skierowane przeciwko osobom o wysokiej wartości wywiadowczej, takim jak obecni i byli urzędnicy rządowi USA, personel wojskowy, politycy i dziennikarze. 

Po włamaniu na konto, atakujący mogą przeglądać wiadomości i listy kontaktów ofiar, wysyłać wiadomości i przeprowadzać dalsze ataki phishingowe na inne konta.

Wabikiem wiadomość od pomocy technicznej

Hakerzy związani z rosyjskim wywiadem wysyłają wiadomości phishingowe, podszywając się pod automatyczne konta pomocy technicznej komunikatorów.

Atakujący dostosowują wiadomości w taki sposób, aby oszukać ofiary i nakłonić je do podjęcia działania, jak np. kliknięcie linku, podanie kodów weryfikacyjnych lub kodów PIN. 

Jeśli użytkownik wykona którąkolwiek z żądanych czynności, otwiera hakerom dostęp do swojego konta, dodając urządzenie atakującego jako powiązane lub przejmując konto. 

Co ważne, zarówno FBI jak i CISA podkreślają, że działanie to nie wiąże się z łamaniem szyfrowania Signala.

W miarę rozwoju kampanii atakujący mogą stosować dodatkowe techniki, takie jak złośliwe oprogramowanie, aby zainfekować urządzenie ofiary.

Podobne ostrzeżenia wydały m.in. niemieckie Federalny Urząd Ochrony Konstytucji (Bundesamt für Verfassungsschutz, BfV) i Federalny Urząd Bezpieczeństwa Informacji (BSI),  Narodowa Agencja Cyberbezpieczeństwa Francji (ANSSI) oraz holenderski wywiad. 

O zagrożeniu informowały również wielokrotnie polskie Wojska Obrony Cyberprzestrzeni.

Operacja wywiadowcza bez hakowania systemów

Dobór celów nie jest przypadkowy. Ataki są ukierunkowane na osoby o szczególnym znaczeniu strategicznym, takie jak urzędnicy państwowi, przedstawiciele wojska, politycy czy dziennikarze. 

Mechanizm działania opiera się przede wszystkim na technikach socjotechnicznych, w tym phishingu, podszywaniu się pod wsparcie techniczne komunikatorów oraz wykorzystywaniu relacji zaufania pomiędzy użytkownikami. 

Jednocześnie wszystkie analizowane źródła podkreślają, że szyfrowanie stosowane w aplikacjach nie zostało przełamane: dostęp uzyskiwany jest poprzez manipulację użytkownikiem, a nie poprzez ingerencję w samą technologię. 

Najważniejsza natomiast konkluzja płynąca z wszystkich publikacji jest zbieżna: nie mamy do czynienia z klasycznym cyberatakiem technicznym, lecz z operacją o charakterze wywiadowczym, w której kluczową rolę odgrywają socjotechnika oraz przejęcie tożsamości cyfrowej użytkownika.