Les pirates de messager "sûrs" ont attaqué: comment les données ont volé le signal - enquête

Ceci est indiqué dans le rapport d'analyse mandiant de Cyber ​​Cloud, Dan Black, publié le 20 février, sur le nom de Google Threat Intelligence Group (GTIG), Google Teams qui traite des menaces de cybersécurité. Les attaques seraient axées sur les personnes qui "intéressent les services spéciaux russes".

GTIG s'attend à ce que les tactiques et les méthodes qui utilisent désormais des pirates contre le signal deviennent plus courantes à l'avenir, y compris au-delà du théâtre ukrainien du théâtre de guerre. Le signal est un populaire parmi les militaires, les politiciens, les journalistes, les militants et autres groupes de risques, ce qui rend le programme coûteux pour les cybercriminels. Afin de saisir des informations confidentielles, ils recourent à des astuces.

La technique la plus récente et la plus courante est l'abus des "appareils connectés", qui vous permet d'utiliser un messager, comme à partir d'un téléphone et d'une tablette à la fois. Pour connecter un appareil supplémentaire, vous devez scanner un code QR spécial. Les pirates créent des codes QR nocifs, scannant les utilisateurs connectez leur compte à l'appareil de l'attaquant. En conséquence, tous les messages sont en temps réel, fournissant un outil d'écoute permanent.

Souvent, les codes QR nocifs étaient masqués par des ressources de signal réelles, telles que les invitations aux groupes, les notifications du système de sécurité ou des appareils. Dans des opérations plus spécialisées, les pirates ont créé de fausses pages Web masquées par des programmes pour l'armée et ont déjà construit des codes QR.

APT44 Hacker (également connu sous le nom de Sandworm ou Blizzard Seashell, il est associé au centre principal des technologies spéciales du GRF) pour utiliser les données des données capturées par les soldats à l'avant de l'appareil. Autrement dit, conditionnellement, les envahisseurs trouvent un smartphone de l'armée ukrainienne, le signal est lié à un serveur contrôlé.

Окрім того, що кіберзлочинець бачить чужі повідомлення, навіть якщо сам телефон буде у нього вже не на руках, він може видавати себе за власника. Il est à noter que si vous pouvez accéder aux données, l'accès est accessible pendant longtemps.

Cela est dû au manque de protection pour une surveillance appropriée, donc le dispositif "supplémentaire" peut être inaperçu pendant longtemps. Російська шпигунська група UNC5792 змінила сторінки "групових запрошень". Les pirates ont utilisé des «invitations» modifiées pour des groupes de signaux conçus pour leur être identiques.

Однак у підроблених групових запрошеннях код JavaScript, який зазвичай скеровує користувача до групи, замінювали шкідливим блоком. Il contenait un identifiant de ressources unifié (URI) utilisé par un nouvel appareil.

Autrement dit, les victimes de telles attaques pensaient qu'elles étaient combinées dans les groupes en signal, et en fait, ils ont eu un accès complet à leurs hackers de comptes. Un autre groupe de hackers lié à la Russie est UNC4221. Ses efforts étaient axés sur les militaires ukrainiens. Les pirates ont développé une fausse version des composants de l'ortie, que les forces armées sont utilisées pour guider l'artillerie. Le but est également l'enlèvement des données du signal.

De plus, les pirates ont tenté de masquer les appareils à l'invitation au groupe à partir d'un contact de confiance. Différentes variations de telles attaques de phishing ont été enregistrées: les cybercriminels ont utilisé un code de poitrine spécial, qui a permis de collecter des informations de base de l'utilisateur et de sa géolocalisation avec la géolocalisation de l'API.

Також хакери працювали над тим, щоб викрадати файли бази даних Signal. Les attaques ont été ciblées sur Android et Windows. APT44 a travaillé avec Wavesign Tool, qui envoie régulièrement des demandes à la base de données. Dans le même temps, RClone a déchargé des réponses avec les derniers messages du système.

Le logiciel nocif de l'infâme ciseau, également probablement créé par Sandworm, a recherché des appareils Android liés au signal pour l'enlèvement. Le Hacker Turla, que les États-Unis et le Royaume-Uni sont attribués au 16 FSB Center, ont utilisé un script PowerShell spécial pour obtenir un message de Signal Desktop après l'infection. UNC11151, lié au Bélarus, a utilisé l'utilitaire Robocopy pour copier des fichiers de Signal Desktop pour une enlèvement supplémentaire.

Google a donné des conseils sur la façon de protéger leurs appareils personnels contre les éventuelles attaques de pirates: les utilisateurs d'iPhone ont recommandé d'envisager d'allumer le mode de verrouillage. "Ми вдячні команді Signal за тісну співпрацю в розслідуванні цієї діяльності.

Останні версії Signal для Android та iOS містять посилені функції, призначені для захисту від подібних фішингових кампаній у майбутньому. Оновіть до останньої версії, щоб увімкнути ці функції", — зазначили в GTIG. Rappel Apple a introduit l'iPhone 16E, équipé de la puce A18 et du premier modem cellulaire C1.