Rusijos grėsmės aktoriai pradėjo sukčiavimo kampanijas, kurios išnaudoja teisėtą „susieto įrenginių“ funkciją signalo pranešimų programoje, kad gautų neteisėtą prieigą prie dominančių sąskaitų.
Per pastaruosius metus tyrėjai stebėjo sukčiavimo operacijas, priskirtas Rusijos valstybinėms grupėms, kurios naudojo kelis metodus, norėdami apgauti tikslus, susiejant savo signalo sąskaitą su užpuoliko kontroliuojamu prietaisu.
Įrenginių sujungimas sukčiavimas
Šiandien pranešime „Google“ grėsmės žvalgybos grupė (GTIG) sako, kad piktnaudžiavimo signalo įrenginio susiejimo funkcija yra „naujausia ir plačiausiai naudojama technika, kuria grindžiamas Rusijos suderintas bandymas pakenkti signalo paskyroms“.
Grėsmės aktoriai pasinaudojo šia funkcija sukurdami kenksmingus QR kodus ir apgaudinėdami potencialias aukas nuskaitydami jas, kad signalo pranešimai galėtų sinchronizuoti su užpuoliko įrenginiu.
Tai yra paprastas triukas, kuriam nereikia visiškai kompromiso dėl taikinio įrenginio, kad būtų galima stebėti jų saugius pokalbius.
GTIG tyrėjai pastebėjo, kad šį metodą pritaikė taikinio rūšis. Platesnėje kampanijoje užpuolikas paslėptų kenksmingą kodą kaip teisėtą programos šaltinį (pvz.
Tiksliniams išpuoliams grėsmės veikėjas pridėtų kenksmingus QR kodus prie sukčiavimo puslapių, skirtų dominti potencialią auką, pavyzdžiui, „specializuotos programos, naudojamos pagrindiniams operacijos tikslams“.
Be to, Gtig pastebėjo, kad liūdnai pagarsėjusi Rusijos įsilaužėlių grupė „Sandworm“ („Seashell Blizzard“/„APT44“) naudojo kenksmingus QR kodus, kad galėtų pasiekti signalo sąskaitas įrenginiuose, užfiksuotuose mūšio lauke dislokuotų karinių pajėgų.
Kitas triukas, pagrįstas įrenginio sujungimo funkcija, kurią GTIG pastebėjo įtariamoje Rusijos šnipinėjimo veikloje, yra teisėto grupės kvietimo puslapio pakeitimas, nukreiptas į kenksmingą URL, jungiantį taikinio signalo sąskaitą su užpuoliko kontroliuojamu įrenginiu.
Šis metodas buvo vertinamas naudojant veiklos klasterį, stebimą kaip UNC5792, kuris turi panašumų su veikėju, kurį Ukrainos kompiuterinės ekstremalios situacijos atsakymo komanda (CERT-UA) vadina UAC-0195, kurio veikla buvo susieta su bandymais pakenkti „WhatsApp“ paskyroms.
„Atliekant šias operacijas, UNC5792 surengė modifikuotų signalų grupės kvietimus į aktorių kontroliuojamą infrastruktūrą, sukurtą taip, kad atrodytų identiški teisėtai signalo grupės kvietimui“ – „Google grasos žvalgybos grupė“.
Netikras kvietimas turėjo teisėtą peradresavimo „JavaScript“ kodą, pakeistą kenksmingu bloku, kuriame buvo „Signal“ URI (vienodas išteklių identifikatorius), skirtas susieti naują įrenginį („SGNL: // LinkDevice UUID“), o ne tas //signal.group/ ”).
Kai taikinys priėmė kvietimą prisijungti prie grupės, jie sujungs savo signalo abonementą su užpuoliko kontroliuojamu įrenginiu.
Pasirinktinis sukčiavimo rinkinys
Kitas su Rusija susijusi grėsmės aktorius, kurį GTIG seka kaip UNC4221 ir CERT-UA kaip UAC-0185naudojo sukčiavimo rinkinį, specialiai sukurtą Ukrainos karinio personalo signalo sąskaitose.
Sukčiavimo rinkinys apsimeta „Kropyva“ programine įranga, kurią Ukrainos ginkluotosios pajėgos naudoja artilerijos vadovams, minų lauko žemėlapiams ar kareivių nustatymui.
Šių atakų prietaisų sujungimo triukas yra užmaskuotas antrine infrastruktūra (Signalų patvirtinimo (.) Svetainė) sukurta apsimetinėti teisėtomis operacijos signalo instrukcijomis.
Užpuolikai taip pat naudojo „Kropyva“ sukčiavimą sukčiavimu, kad paskirstytų kenksmingus įrenginių sujungimo QR kodus, o senesnės operacijos, suviliotos su netikrais signalo saugumo įspėjimais, surengtais domenuose, apsimetant pranešimų siuntimo paslauga.
Gtig sako, kad pastebėjo ir Rusijos, ir Baltarusijos pastangas ieškoti ir rinkti pranešimus iš „Signal App“ duomenų bazės failų „Android“ ir „Windows“, naudojant „Wavesign“ paketo scenarijų, liūdnai pagarsėjusį kenkėjišką kenkėjišką programą, „PowerShell“ scenarijus ir „Robocopy“ komandos naudingumą.
Tyrėjai pabrėžia, kad signalas nėra vienintelė pranešimų siuntimo programa Rusijos Rusijos grėsmės veikėjai parodė susidomėjimą pastaraisiais mėnesiais ir atkreipė dėmesį į „Coldriver“ kampaniją, kuri buvo nukreipta į „WhatsApp“ aukštos vertės diplomatų sąskaitas.
Tyrėjai pažymi, kad tokio tipo prietaisų sujungimo kompromisą sunku pastebėti ir apsaugoti nuo to, nes nėra techninio sprendimo stebėti naujai susieto įrenginių grėsmę.
Jie sako, kad „kai pasisekė, kyla didelė rizika, kad kompromisas ilgą laiką gali likti nepastebėtas“.
Signalo vartotojams patariama atnaujinti naujausią programos versiją, kurioje yra patobulintos apsaugos nuo sukčiavimo atakų, kurias pastebėjo „Google“.
Papildomos rekomendacijos apima ekrano užrakto suaktyvinimą mobiliuosiuose įrenginiuose su ilgu ir sudėtingu slaptažodžiu, reguliariai tikrinant susietų įrenginių sąrašą, atsargiai, kai bendraujate su QR kodais, ir įgalinant dviejų faktorių autentifikavimą.