Hakerske skupine povezane s ruskom državom ušuljale su se u račune na aplikaciji za razmjenu poruka Signal od nekih ukrajinskih vojnih djelatnika kako bi dobile pristup osjetljivim komunikacijama, objavio je Google u izvješću objavljenom danas.
Skupine povezane s Moskvom pronašle su načine za spajanje zlouporabom značajke “povezanih uređaja” aplikacije za razmjenu poruka koja omogućuje korisniku da bude prijavljen na više uređaja u isto vrijeme. U nekim je slučajevima Google otkrio zloglasnu rusku tajnu hakersku skupinu Sandworm (ili APT44, dio vojne obavještajne agencije GRU) kako radi s ruskim vojnim osobljem na prvim linijama bojišnice kako bi povezali Signal račune na uređajima zarobljenim na bojnom polju s njihovim vlastitim sustavima, omogućujući špijunskoj skupini da prati kanale.
Prevare u kojima su nesvjesno sudjelovali i prevareni
U drugim slučajevima, hakeri su prevarili Ukrajince da skeniraju QR kodove koji, nakon skeniranja, povezuju račun žrtve s hakerskim sučeljem, što znači da će buduće poruke biti isporučene i meti i ruskim hakerima u stvarnom vremenu. Grupe povezane s Rusijom, uključujući UNC4221 i UNC5792, slale su promijenjene linkove i kodove “grupnih poziva” signala ukrajinskom vojnom osoblju, poručio je Google.
Signal se smatra mjerilom za sigurnu, end-to-end kriptiranu razmjenu poruka, budući da prikuplja minimalne podatke, a njegov end-to-end enkripcijski protokol je otvorenog koda, što znači da ga stručnjaci za kibernetičku sigurnost mogu kontinuirano provjeravati radi kvarova.
Google warns that hackers tied to Russia are tricking Ukrainian soldiers with fake QR codes for Signal group invites that let spies steal their messages. Signal has pushed out new safeguards. https://t.co/jM3RLAap1u
— WIRED (@WIRED) February 19, 2025
Google misli da će se takve hakerske metode širiti
Europska komisija i Europski parlament neke su od vladinih institucija koje su savjetovale svoje osoblje da koriste ovu aplikaciju umjesto konkurentskih aplikacija za razmjenu poruka. Googleovo istraživanje nije sugeriralo da je sam protokol enkripcije aplikacije ranjiv, već da se funkcija “povezanih uređaja” aplikacije zlorabila kao zaobilazno rješenje. Kao odgovor na prijetnju, viši tehnolog Signala Josh Lund rekao je da je aplikacija “napravila nekoliko promjena kako bi podigla svijest i zaštitila korisnike od vrsta napada putem društvenog inženjeringa kakvo izvješće opisuje”, uključujući reviziju korisničkog sučelja, uvođenje dodatnih koraka autentifikacije i nove implementacije obavijesti za uređaje.
Google sada upozorava da bi se metode za preuzimanja podataka od Signala mogle koristiti i izvan Ukrajine. “Predviđamo da će taktike i metode koje se koriste za ciljanje Signala u kratkoročnom periodu postati sve češće i proširiti se na dodatne aktere prijetnje i regije izvan ukrajinskog ratišta”, rekao je Dan Black, istraživač kibernetičke špijunaže u grupi Mandiant Google Clouda. Druge aplikacije za razmjenu poruka, uključujući WhatsApp i Telegram, imaju slične funkcije povezivanja komunikacije uređaja i mogle bi biti ili postati meta sličnih mamaca, sugerira Google.
Ruska vojska dobila naočale za upravljanje dronovima: Čekala ih je eksplozivna zamka
