„Safe” Messenger zaatakował hakerzy: w jaki sposób dane ukradły przez sygnał - dochodzenie

Jest to stwierdzone w raporcie analizy mandatowej Cyber ​​Cloud Dan Black, opublikowanego 20 lutego, o nazwie Google Threat Intelligence Group (GTIG), zespoły Google, które zajmują się zagrożeniami cyberbezpieczeństwa. Podobno ataki koncentrują się na osobach, które „są interesujące dla rosyjskich usług specjalnych”.

GTIG oczekuje, że taktyki i metody, które obecnie wykorzystują hakerów przeciwko sygnałowi, staną się bardziej powszechne w przyszłości, w tym poza ukraińskim teatrem teatru wojennym. Signal jest popularny wśród żołnierzy, polityków, dziennikarzy, aktywistów i innych grup ryzyka, co czyni program dla cyberprzestępców. Aby przejąć poufne informacje, uciekają się do sztuczek.

Najnowszą i najczęstszą techniką jest nadużycie „podłączonych urządzeń”, która pozwala korzystać z posłańca, na przykład z telefonu i tabletu jednocześnie. Aby podłączyć dodatkowe urządzenie, musisz zeskanować specjalny kod QR. Hakerzy tworzą szkodliwe kody QR, skanując, które użytkownicy łączą swoje konto z urządzeniem atakującego. W rezultacie wszystkie wiadomości pojawiają się w czasie rzeczywistym, zapewniając stałe narzędzie do słuchania.

Często szkodliwe kody QR były maskowane przez rzeczywiste zasoby sygnałowe, takie jak zaproszenia do grup, powiadomienia o systemie bezpieczeństwa lub urządzeniach. W bardziej wyspecjalizowanych operacjach hakerzy tworzyli fałszywe strony internetowe, które zostały zamaskowane przez programy dla wojska i już zbudowali kody QR.

APT44 Hacker (znany również jako Sandworm lub Blizzard, jest powiązany z głównym centrum specjalnych technologii GRF) do wykorzystania danych danych przechwyconych przez żołnierzy z przodu urządzenia. Oznacza to, że najeźdźcy znajdują smartfon ukraińskiego wojska, sygnał jest powiązany z kontrolowanym serwerem. Oprócz faktu, że cyberprzestępczość widzi wiadomości innych ludzi, nawet jeśli telefon nie ma już w jego rękach, może szukać właściciela.

Należy zauważyć, że jeśli możesz uzyskać dostęp do danych, dostęp do dostępu można uzyskać przez długi czas. Wynika to z braku ochrony odpowiedniego monitorowania, więc „dodatkowe” urządzenie może być niezauważone przez długi czas. Rosyjska grupa szpiegowska UNC5792 zmieniła strony „zaproszeń grupowych”. Hakerzy używali zmodyfikowanych „zaproszeń” do sygnalizacji grup zaprojektowanych tak, aby wyglądały z nimi identycznie.

Jednak w fałszywych zaproszeniach grupowych kod JavaScript, który zwykle kieruje użytkownikiem do grupy, został zastąpiony szkodliwym blokiem. Zawierał ujednolicony identyfikator zasobów (URI) używany przez nowe urządzenie. Oznacza to, że ofiary takich ataków myślały, że zostały połączone z grupami w sygnalizowaniu, a w rzeczywistości otrzymały pełny dostęp do swoich hakerów z relacji. Inną grupą hakerów związaną z Rosją jest UNC4221.

Jej wysiłki koncentrowały się na ukraińskich żołnierzach. Hakerzy opracowali fałszywą wersję komponentów pokrzywy, które siły zbrojne służą do prowadzenia artylerii. Celem jest również uprowadzenie danych z sygnału. Ponadto hakerzy próbowali ukryć urządzenia do zaproszenia do grupy przed zaufanym kontaktem.

Zarejestrowano różne odmiany takich ataków phishingowych: cyberprzestępcy użyły specjalnego kodu wskazującego, który pozwolił na zbieranie podstawowych informacji użytkownika i jego geolokalizacji z geolokacją API. Hakerzy pracowali również nad kradzieżą plików bazy danych sygnałowych. Ataki były ukierunkowane na Androida i Windows. APT44 współpracował z Wavesign Tool, które regularnie wysyła żądania do bazy danych.

Jednocześnie RCLONE rozładował odpowiedzi z najnowszymi wiadomościami w systemie. Szkodliwe oprogramowanie niesławnego dłuta, prawdopodobnie również stworzone przez Sandworm, wyszukiwało urządzenia z Androidem związane z sygnałem do porwania. Haker Turla, którego USA i Wielka Brytania przypisuje się Centrum 16 FSB, użył specjalnego skryptu PowerShell, aby uzyskać wiadomość z komputerów Signal Desktop po zakażeniu.

UNC11151, związany z Białorusi, użył narzędzia Robocopy do kopiowania plików z pulpitu sygnałowego w celu dalszego uprowadzenia. Google udzielił wskazówek, jak chronić swoje urządzenia osobiste przed możliwymi atakami hakerów: użytkownicy iPhone'a zalecili rozważenie przejścia na tryb blokady. „Jesteśmy wdzięczni zespołowi sygnałowi za ścisłą współpracę w badaniu tej działalności.

Najnowsze wersje sygnału i iOS zawierają ulepszone funkcje mające na celu ochronę przed takimi kampaniami phishingowymi w przyszłości. Aktualizacja najnowszej wersji, aby zmienić te funkcje”, powiedział GTIG. Przypomnij sobie, że Apple wprowadził iPhone'a 16E, wyposażony w układ A18 i pierwszy modem komórkowy C1. Analitycy zgłosili wynik tajnej współpracy z SpaceX. Obecnie telewizor można zastąpić przenośnym projektem, który jest odpowiedni do kina, gier i pracy.