Ruski-pozadinske skupine su razvijene tehnike za kompromise šifrirane usluge razmjene poruka, uključujući signal, Whatsapp i Telegram, postavljanje novinara, političara i aktivista od interesa za rusku obavještajnu službu na potencijalnom riziku.
Google prijetnja obavještajna grupa otkrila je danas da su hakeri koji su podržali Rusione pojačali napade na račune signalnih messengera za pristup osjetljivoj vladi i vojnim komunikacijama koje se odnose na rat u Ukrajini.
Analitičari predviđaju da je samo pitanje samo prije nego što Rusija započne raspoređivanje tehnika hakiranja protiv nevojnih korisnika i korisnika drugih šifriranih usluga razmjene poruka, uključujući WhatsApp i telegram.
Dan Black, glavni analitičar na Google prijetnjoj obavještajnoj grupi, rekao je da će biti “apsolutno šokiran” ako ne vidi napade protiv signala koji se proširuju izvan rata u Ukrajini i na druge šifrirane platforme za razmjenu poruka.
Rekao je da je Rusija često “prvi pokretač” u cyber napadima, i da bi to bilo samo pitanje vremena prije nego što su druge zemlje, poput Irana, Kine i Sjeverne Koreje, koristili eksploatacije za napad na šifrirane interese interesa .
Upozorenje slijedi otkrivanja da je ruska inteligencija stvorila spoof-ovu internetsku forumu za Davos World Economic Forum u januaru 2025. godine da se prikriveno pokušava dobiti pristup računima, diplomati ukrajinskih vladina, diplomati i bivši istražni novinar u Bellingcat.
Povezani uređaji ciljani
Hakeri koji podržavaju Rusiju pokušavaju kompromitirati mogućnost “povezanih uređaja”, što omogućava signalnim korisnicima da povezuju svoj račun za razmjenu poruka na više uređaja, uključujući telefone i prijenosna računala, koristeći brzi kôd za prijenosnu računaru (QR).
Google prijetnji analitičari prijavljuju da su pretiljnici povezani sa ruskim razvili zlonamjerne QR kodove da će, kada će se skenirati, dat akumulaciju prijetnje u stvarnom vremenu u stvarnom vremenu porukama žrtve ili računara.
U jednom slučaju, prema crnom, kompromitirani račun signala vodio je Rusiju da pokrene artiljerijski štrajk protiv ukrajinske armije, što je rezultiralo nizom žrtava.
Grupe koji su podržane ruske primnožene su zlonamjernim kodovima kao pozivnice za diskusije grupe signalnih grupa ili kao legitimna uputstva za uparivanje uređaja sa web stranice signala.
U nekim ciljanim napadima sa kopljem, Rusija povezani hakeri također su ugradili zlonamjerne QR kodove na krađujućim web stranicama dizajniranim na oponašaju stručne aplikacije koje koriste žrtve napada.
Rusija-kompromitirani signal koji se nalazi na berđama telefoni
Sandworm grupa povezana sa Rusijom, poznata i kao APT44, koja je povezana sa općim osobljem oružanih snaga Ruske Federacije, sarađivala je sa ruskim vojnim snagama u Ukrajini na kompromisnoj računima signala na telefone i računarima zarobljenim na bojnom polju.
Google-ove mandiant istraživače identificirali su web stranicu ruskog jezika dajući upute ruskim govornicima o parivanju signalnih ili telegramskih računa s infrastrukturom koji kontrolira APT44.
“Ekstrapolacija je da se to predviđa ruskim snagama da bi mogle rasporediti zarobljene uređaje na bojnom polju i pošaljite povratak komunikacijama na Gru da se iskoriste”, “Crni je rekao kompjuterskom tjednu.
Vjeruje se da je Rusija hranjela presretnute signalnu komunikaciju na “Datasko jezero” za analizu sadržaja velikog broja signalnih komunikacija za bojno polje.
Kompromis koji će vjerovatno otići neotkriveni
Napadi koji se zasnivaju na mogućnosti iskorištavanja signala koji povezuje mogućnost povezivanja, a kada su uspješni postoji visoki rizik da kompromitirani računi signala mogu dugo proći nezapaženo.
Google je identificirao još jedan klaster ruskih napadača, poznat kao UNC5792, koji je koristio modificirane verzije legitimnih stranica signalnih grupa koji povezuju račun za žrtve na uređaj koji kontrolira grupu koja je omogućila čitati i pristupiti ciljevima Signalne poruke.
Drugi pretpostavljeni prijetnji rusija razvili su signal “krađujući komplet” dizajniran za oponašaju komponente softvera za artiljerijsko vodstvo Kropyva koji koristi ukrajinska vojska. Hacking Group, poznata kao UNC4221, prethodno su koristile zlonamjerne web stranice dizajnirane za oponašanje legitimnih sigurnosnih upozorenja iz signala.
Grupa je također koristila lagani javascript korisno opterećenje, poznato kao precizno, za prikupljanje osnovnih podataka o korisničkim informacijama i geolokacijskim podacima iz web pretraživača.
Google je upozorio da će se kombinacija pristupa sigurnosnim porukama i podacima o lokaciji žrtvama vjerojatno koristiti za podupiranje ciljanih nadzornih operacija ili za podršku konvencionalnim vojnim operacijama u Ukrajini.
Signalne baze podataka napadnute na Androidu
Google je upozorio i da su primijećeni da su višestruki akteri prijetnji koristeći iskorištavanje da bi ukrali datoteke baze podataka signala sa ugroženih android i Windows uređaja.
2023. godine, nacionalni centar za Cyber sigurnosni sigurnosni sigurnosni centar i sigurnosna služba Ukrajine upozorili su da je Hakirna grupa Sandworm rasporedila Android Malware, poznata kao zloglasna dlijeta, za pretraživanje aplikacija za razmjenu poruka, uključujući signal, uključujući signal na Android uređajima.
Zlonamjerni softver može skenirati zaražene uređaje za WhatsApp poruke, neslaganje, informacije o geolokaciji i drugim podacima od interesa za rusku inteligenciju. Sposobna je identificirati signalne i druge poruke i “pakirati ih” u nešifriranom obliku za ekfiltraciju.
APT44 upravlja laganom prozorom parijom, poznatim kao valovita, za periodično upita signalne poruke iz baze podataka žrtve i da bi se exfiltrat traju na najnovijim porukama.
Ruska prijetnja glumca Turla, koju je SAD i Velika Britanija pripisala ruskoj saveznom sigurnosnoj službi, koristila je laganu powerhell skriptu za exfiltrate signalne poruke.
I u Bjelorusiji, saveznik Rusije, hakirna grupa koja je označena kao UNC1151 koristila je komunalnu uslugu, poznata kao robokopija, da bi se postrojelo sadržaj datoteka koje se koriste signalnom radnom površinom za spremanje poruka i prilozi za kasniju exfiltraciju.
Šifrirane usluge razmjene poruka pod prijetnjom
Google je upozorio da pokušaji od strane više aktera prijetnje da ciljaju signal služe kao upozorenje za rastuću prijetnju za sigurnu usluge razmjene poruka i da su napadi sigurno intenzivirati u skoroj budućnosti.
“Čini se da postoji jasna i rastuća potražnja za uvredljivim cyber sposobnostima koje se mogu koristiti za nadgledanje osjetljive komunikacije pojedinaca koji se oslanjaju na sigurne aplikacije za razmjenu poruka kako bi zaštitile njihovu mrežnu aktivnost”, rečeno je.
Napadi eksploatiraju “legitimna funkcija”
Korisnici šifriranih komunikacija nisu samo riziku od phishing-a i zlonamjernog softvera, već i iz sposobnosti prijetnjih aktera kako bi se osigurao pristup ciljanom uređaju – na primjer, razbijanjem lozinke.
Crno je rekao da je podmukao da su ruski napadači koristili “legitimnu funkciju” u signalu kako bi stekli pristup povjerljivim komunikacijama, a ne da kompromitiraju telefone žrtava ili razbijaju šifriranje aplikacije.
“Mnogo publike koja koristi signal da bi imala osjetljiva komunikacija treba razmišljati o riziku od uparivanja svog uređaja na drugi uređaj”, rekao je.
Signal i telegram ciljani
Rusije-usklađene grupe su također ciljale i druge široko korištene platforme za razmjenu poruka, uključujući signal i telegram.
Ruska hakirna grupa povezana je s ruskom obavještajnom službom FSB-a, poznate kao Coldriver, Seaborgium, Callisto i Star Blizzard, prebacila je taktiku krajem 2024. godine da bi lansirali napad na socijalljenje na ljude koji koriste WhatsApp šifrirane poruke.
Grupa cilja zastupnice, ljude koji su uključeni u vlade ili diplomaciju, istraživačkoj i odbrambenu politiku i organizacije ili pojedince koje podržavaju Ukrajinu.
Kako je izložena kompjuterskom sedmičnom 2022., zvjezdana mećava prethodno hakirana, kompromitirana i procurila e-poštu i dokumente koji pripadaju nekadašnjem šefu Mi6, zajedno sa drugim pripadnicima tajne desnog krila posvećeno kampanju za ekstremnu tvrdu Brexit.
Škotski nacionalna stranka MP Stewart McDonald bila je još jedna žrtva grupe. Lijeva krila slobodna novinarka Paul Mason, koja je često kritizirala Putinov rat protiv Ukrajine, također je ciljala Grupa, a njegova e-maila procurila je u Greyzone, prorusku publikaciju u SAD-u.
Akademici sa univerziteta Bristol, Cambridgea i Edinburga, uključujući pokojni Ross Anderson, profesor sigurnosnog inženjerstva, prvi put objavljene istraživane u upozorenju da bi se radne površine signaliziraju i WhatsApp mogle biti ugrožene ako ih pristupi graničnom straže ili intimnom partnerom, omogućujući im da pročitaju sve buduće poruke.
Signal Sporte Security
Signal je poduzeo korake za poboljšanje sigurnosti svoje funkcije uparivanja kako bi upozorio korisnike na moguće pokušaje da se pristupi njihovim računima kroz taktiku socijalnog inženjerstva, slijedeći Googleove nalaze.
Josh Lund, viši tehnolog na signalu, rekao je da je organizacija uvela niz ažuriranja za ublažavanje potencijalnih napada na socijalno inženjerstvo i phishing-a prije nego što ga je Google pristupio.
“Google ETither Intelligence Grupa pružila nam je dodatne informacije i uveli smo daljnja poboljšanja na osnovu njihovih povratnih informacija. Zahvalni smo na njihovoj pomoći i bliskoj suradnji “, rekao je on za kompjuterski tjedno.
Signal je od tada dao poboljšanja, uključujući remont interfejsa za pružanje dodatnih upozorenja kada neko poveže novi uređaj.
Također je uveo dodatne korake za provjeru autentičnosti kako bi se spriječilo bilo kome osim vlasnika primarnog uređaja da doda novi povezani uređaj. Kada je bilo koji novi uređaj povezan sa signalnom računom, primarni uređaj će automatski dobiti obavijest, omogućujući korisnicima da brzo pregledaju i uklanjaju sve nepoznate ili neželjene povezane uređaje.
Google prijetnja Crnom inteligenciji Crnim savjetovali su ljudima da aplikacija signala pažljivo razmisli prije prihvaćanja veza sa grupnim chatovima.
“Ako je to kontakt, znate, samo napravite grupu direktno. Ne koristite vanjske veze da biste radili stvari koje možete izravno koristiti funkcije aplikacije za razmjenu poruka “, rekao je.
Pročitajte više o ruskim napadima na signal na blogu na Dan Black.