Orosz hackerek a Signal alkalmazáson keresztül kémkednek
Az orosz állami támogatású hackercsoportok egyre gyakrabban célozzák meg a Signal üzenetküldő alkalmazást használó ukrán katonai és kormányzati tisztviselőket annak érdekében, hogy hozzáférjenek érzékeny információkhoz, amelyek segíthetik Moszkva háborús erőfeszítéseit – figyelmeztetett a Google biztonsági csapata egy friss jelentésében.
A támadások középpontjában a Signal “linked devices” funkciója áll, amely lehetővé teszi az alkalmazás több eszközön való egyidejű használatát. Az orosz hackerek rosszindulatú QR-kódokat készítenek, amelyek beolvasásával a célpont fiókja egy támadó által irányított eszközhöz kapcsolódik, így az összes bejövő üzenet valós időben elérhetővé válik a támadók számára. A rosszindulatú QR-kódokat többféle módon terjesztik, például álcázott Signal-csoportmeghívóként, biztonsági riasztásként vagy hamis katonai weboldalakon keresztül.
A Google arról is beszámolt, hogy az orosz Sandworm hackercsoport a harctéren elfogott ukrán katonai eszközökön lévő Signal-fiókokat is átvette és továbbította saját rendszereikre. Egy másik csoport, az UNC4221, egy hamis Signal adathalász támadócsomagot fejlesztett ki, amely az ukrán Kropyva alkalmazást (tüzérségi irányításra használt szoftver) utánozta. A támadók a Pinpoint JavaScript-kártevőt is bevetették, amely alapvető felhasználói információkat és földrajzi helyadatokat gyűjtött.
Ezen túlmenően az orosz hackerek a Signal adatbázisfájljait is lopják Android és Windows eszközökről. Például a Sandworm Wavesign malware-t alkalmazott az üzenetek kiszivárogtatására, míg a Turla csoport egy PowerShell script segítségével fért hozzá a Signal asztali verziójának adataihoz.
A Google szerint ezek a támadások valószínűleg a háborús hírszerzési igények miatt fokozódnak, de arra számítanak, hogy más országok és fenyegetési szereplők is egyre inkább megcélozzák a biztonságos üzenetküldő alkalmazásokat. A Signal már dolgozik a támadások kivédésén: a legújabb Android- és iOS-frissítések megerősített biztonsági funkciókat tartalmaznak, amelyek segíthetnek az ilyen jellegű adathalász támadások ellen.
(forrás)
