"Safe" Messenger ha attaccato gli hacker: come i dati hanno rubato tramite Signal - Indagine

Questo è indicato nel rapporto di analisi mandiant di Cyber ​​Cloud Dan Black, pubblicato il 20 febbraio, sul nome di Google Threat Intelligence Group (GTIG), i team di Google che si occupano di minacce di sicurezza informatica. Si dice che gli attacchi siano concentrati su persone che "sono di interesse per i servizi speciali russi".

GTIG si aspetta che le tattiche e i metodi che ora stanno usando gli hacker contro il segnale diventeranno più comuni in futuro, anche oltre il teatro ucraino del teatro di guerra. Il segnale è popolare tra militari, politici, giornalisti, attivisti e altri gruppi di rischio, il che rende il programma costoso per i criminali informatici. Al fine di cogliere le informazioni riservate, ricorrono a trucchi.

La tecnica più recente e più comune è l'abuso di "dispositivi connessi", che consente di utilizzare un messaggero, ad esempio da un telefono e tablet alla volta. Per collegare un dispositivo aggiuntivo, è necessario scansionare un codice QR speciale. Gli hacker creano codici QR dannosi, scansionano quali utenti collegano il proprio account al dispositivo dell'attaccante. Di conseguenza, tutti i messaggi sono disponibili in tempo reale, fornendo uno strumento di ascolto permanente.

Spesso, i codici QR dannosi sono stati mascherati da risorse di segnale reali, come inviti a gruppi, notifiche del sistema di sicurezza o dei dispositivi. In operazioni più specializzate, gli hacker hanno creato false pagine Web mascherate da programmi per i militari e già costruiti codici QR.

APT44 Hacker (noto anche come Blizzard Sandworm o Seashell, è associato al centro principale delle tecnologie speciali del GRF) per utilizzare i dati dei dati acquisiti dai soldati sulla parte anteriore del dispositivo. Cioè, condizionalmente gli invasori trovano uno smartphone dell'esercito ucraino, il segnale è legato a un server controllato.

Oltre al fatto che il crimine informatico vede i messaggi di altre persone, anche se il telefono non è più nelle sue mani, può cercare il proprietario. Si noti che se è possibile accedere ai dati, è possibile accedere ad accesso per lungo tempo. Ciò è dovuto alla mancanza di protezione per un monitoraggio adeguato, quindi il dispositivo "extra" può essere inosservato per molto tempo. Il gruppo di spionaggio russo UNC5792 ha cambiato le pagine degli "inviti di gruppo".

Gli hacker hanno usato "inviti" modificati per segnalare gruppi progettati per sembrare identici a loro. Tuttavia, negli inviti di gruppo falsi, il codice JavaScript, che di solito indirizza l'utente al gruppo, è stato sostituito da un blocco dannoso. Conteneva un identificatore di risorse unificato (URI) utilizzato da un nuovo dispositivo. Cioè, le vittime di tali attacchi hanno pensato di essere combinati ai gruppi in segnalazione, e in effetti hanno ricevuto pieno accesso ai loro hacker.

Un altro gruppo di hacker relativo alla Russia è UNC4221. Її зусилля були зосереджені на українських військовослужбовцях. Gli hacker hanno sviluppato una versione falsa dei componenti dell'ortica, che le forze armate vengono utilizzate per guidare l'artiglieria. Lo scopo è anche il rapimento dei dati dal segnale. Inoltre, gli hacker hanno cercato di mascherare i dispositivi all'invito al gruppo da un contatto affidabile.

Sono state registrate diverse varianti di tali attacchi di phishing: i criminali informatici hanno utilizzato un codice di punta speciale, che ha permesso di raccogliere informazioni di base dell'utente e della sua geolocalizzazione con la geolocalizzazione dell'API. Gli hacker hanno anche lavorato per rubare file di database di segnale. Gli attacchi sono stati presi di mira su Android e Windows. APT44 ha lavorato con lo strumento WaveSign, che invia regolarmente richieste al database.

Водночас за допомогою Rclone вивантажувались відповіді з найновішими повідомленнями у системі. Il software dannoso di Chisel infame, probabilmente anche creato da Sandworm, ha cercato dispositivi Android relativi al segnale per il rapimento.

L'hacker Turla, che gli Stati Uniti e il Regno Unito sono attribuiti al Centro FSB 16, ha usato uno script di PowerShell speciale per ricevere un messaggio dal desktop Signal dopo l'infezione. L'UNC11151, relativa alla Bielorussia, ha utilizzato l'utilità Robocopy per copiare i file da Signal Desktop per un ulteriore rapimento.

Google ha dato suggerimenti su come proteggere i propri dispositivi personali da possibili attacchi di hacker: gli utenti di iPhone hanno consigliato di prendere in considerazione l'accensione della modalità di blocco. "Siamo grati al team di Signal per una stretta collaborazione nello studio di questa attività. Le versioni più recenti e iOS contengono funzionalità migliorate intese a proteggere da tali campagne di phishing in futuro.