Hackers atacados por mensajería "segura": ¿Cómo se roban los datos a través de la señal? - Investigación

Esto se establece en el informe de análisis Mandiant de Cyber ​​Cloud, Dan Black, publicado el 20 de febrero, sobre el nombre de Google Threat Intelligence Group (GTIG), los equipos de Google que se ocupa de las amenazas de ciberseguridad. Se informa que los ataques se centran en personas que "son de interés para los servicios especiales rusos".

GTIG espera que las tácticas y los métodos que ahora están utilizando a los piratas informáticos contra la señal se vuelvan más comunes en el futuro, incluso más allá del Teatro de la Guerra del Teatro Ucraniano. La señal es popular entre los militares, políticos, periodistas, activistas y otros grupos de riesgos, lo que hace que el programa sea costoso para los ciberdelincuentes. Para aprovechar la información confidencial, recurren a los trucos.

La técnica más reciente y más común es el abuso de "dispositivos conectados", que le permite usar un mensajero, como desde un teléfono y tableta a la vez. Para conectar un dispositivo adicional, debe escanear un código QR especial. Los piratas informáticos crean códigos QR dañinos, escaneando que los usuarios conectan su cuenta al dispositivo del atacante. Como resultado, todos los mensajes llegan en tiempo real, proporcionando una herramienta de escucha permanente.

A menudo, los códigos QR dañinos estaban enmascarados por recursos de señal reales, como invitaciones a grupos, notificaciones del sistema de seguridad o dispositivos. En operaciones más especializadas, los piratas informáticos crearon páginas web falsas que estaban enmascaradas por programas para los militares, y ya construyeron códigos QR.

APT44 Hacker (también conocido como Sandworm o Seashell Blizzard, está asociado con el centro principal de tecnologías especiales del GRF) para usar los datos de datos capturados por soldados en la parte delantera del dispositivo. Es decir, condicionalmente los invasores encuentran un teléfono inteligente del ejército ucraniano, la señal está vinculada a un servidor controlado.

Además del hecho de que el delito cibernético ve los mensajes de otras personas, incluso si el teléfono ya no está en sus manos, puede buscar el propietario. Se observa que si puede acceder a los datos, se puede acceder a acceso durante mucho tiempo. Esto se debe a la falta de protección para el monitoreo apropiado, por lo que el dispositivo "extra" puede pasar desapercibido durante mucho tiempo. El grupo de espías ruso UNC5792 ha cambiado las páginas de "invitaciones grupales".

Los piratas informáticos utilizaron "invitaciones" modificadas para señalar grupos diseñados para parecer idénticos a ellos. Sin embargo, en las invitaciones del grupo falso, el código JavaScript, que generalmente dirige al usuario al grupo, fue reemplazado por un bloque nocivo. Contenía un identificador de recursos unificado (URI) utilizado por un nuevo dispositivo.

Es decir, las víctimas de tales ataques pensaron que se combinaron con los grupos en señal, y de hecho se les dio acceso completo a sus cuentas hackers. Otro grupo de piratas informáticos relacionados con Rusia es UNC4221. Sus esfuerzos se centraron en los militares ucranianos. Los piratas informáticos han desarrollado una versión falsa de los componentes de la ortiga, que las fuerzas armadas se utilizan para guiar la artillería. El propósito también es la abducción de datos de la señal.

Además, los piratas informáticos intentaron disfrazar los dispositivos para invitar al grupo de un contacto confiable. Se registraron diferentes variaciones de tales ataques de phishing: los cibercriminales utilizaron un código preciso especial, que permitió recopilar información básica del usuario y su geolocalización con la geolocalización API. Los piratas informáticos también trabajaron para robar archivos de base de datos de señales. Los ataques fueron atacados en Android y Windows.

APT44 funcionó con WaveSign Tool, que envía regularmente solicitudes a la base de datos. Al mismo tiempo, RClone descargó respuestas con los últimos mensajes en el sistema. El software dañino del infame cincel, también creado por Sandworm, buscó dispositivos Android relacionados con la señal para el secuestro.

El hacker de Turla, que los Estados Unidos y el Reino Unido se atribuyen al centro de 16 FSB, utilizó un script de PowerShell especial para obtener un mensaje de Signal Desktop después de la infección. UNC11151, relacionado con Bielorrusia, utilizó la utilidad de robocopy para copiar archivos del escritorio de señales para una mayor secuestro.

Google ha dado consejos sobre cómo proteger sus dispositivos personales de posibles ataques de piratas informáticos: los usuarios de iPhone han recomendado que considere cambiar el modo de bloqueo. "Estamos agradecidos con el equipo de Signal por la estrecha cooperación en la investigación de esta actividad. La última señal y las versiones de iOS contienen características mejoradas destinadas a proteger contra tales campañas de phishing en el futuro.