„Safe“ zaútočil na hackery: Jak ukradla data prostřednictvím signálu - vyšetřování

února, o názvu Google Threat Intelligence Group (GTIG), týmů Google, které se zabývají hrozbami kybernetické bezpečnosti. Útoky se uvádí, že se zaměřují na osoby, které „jsou zajímavé pro ruské zvláštní služby“. GTIG očekává, že taktika a metody, které nyní používají hackery proti signálu, se v budoucnu stanou běžnějšími, včetně mimo ukrajinské divadlo válečného divadla.

Signál je populární mezi vojáky, politiky, novináři, aktivisty a dalšími rizikovými skupinami, díky nimž je program pro kybernetičtí zločince nákladným. Aby se chopili důvěrných informací, uchýlili se k trikům. Nejnovější a nejběžnější technikou je zneužívání „připojených zařízení“, které vám umožňuje používat posel, například z telefonu a tabletu najednou. Chcete -li připojit další zařízení, musíte prohledat speciální QR kód.

Hackeři vytvářejí škodlivé kódy QR a skenování, které uživatelé připojují svůj účet k zařízení útočníka. Výsledkem je, že všechny zprávy přicházejí v reálném čase a poskytují trvalý nástroj pro poslech. Škodlivé kódy QR byly často maskovány skutečnými zdroji signálu, jako jsou pozvánky do skupin, oznámení o bezpečnostním systému nebo zařízeních.

Ve specializovanějších operacích vytvořili hackeři falešné webové stránky, které byly maskovány programy pro armádu, a již vytvořily QR kódy. APT44 Hacker (také známý jako sandworm nebo Seashell Blizzard, je spojen s hlavním centrem speciálních technologií GRF) používat data údajů zachycených vojáky na přední straně zařízení. To znamená, že podmíněně útočníci najdou smartphone ukrajinské armády, signál je vázán na kontrolovaný server.

Kromě skutečnosti, že počítačová kriminalita vidí zprávy jiných lidí, i když telefon již není v jeho rukou, může se hledat pro majitele. Je třeba poznamenat, že pokud máte přístup k datům, je přístup k přístupu na dlouhou dobu. Důvodem je nedostatek ochrany pro vhodné monitorování, takže „extra“ zařízení může být po dlouhou dobu bez povšimnutí. Ruská špionážní skupina UNC5792 změnila stránky „skupinových pozvánek“.

Hackeři použili modifikované „pozvánky“ k signalizaci skupin navržených tak, aby vypadaly s nimi identicky. V pozvánek na falešné skupiny byl však kód JavaScript, který obvykle nasměruje uživatele do skupiny, nahrazen škodlivým blokem. Obsahoval identifikátor sjednoceného zdroje (URI) používaný novým zařízením.

To znamená, že oběti takových útoků si myslely, že byly kombinovány se skupinami v signálu a ve skutečnosti jim bylo poskytnuto plného přístupu ke svým účtům hackerům. Další skupina hackerů související s Ruskem je UNC4221. Její úsilí bylo zaměřeno na ukrajinské vojáky. Hackeři vyvinuli falešnou verzi komponent kopřivy, kterou se ozbrojené síly používají jako vedení dělostřelectva. Účelem je také únos dat ze signálu.

Kromě toho se hackeři pokusili přestrojit zařízení na pozvání do skupiny z důvěryhodného kontaktu. Byly zaznamenány různé variace takových phishingových útoků: Kybernetičtí zločinci použili speciální kód Pinpoint, který umožnil shromažďovat základní informace uživatele a jeho geolokaci s geolokací API. Hackeři také pracovali na krádeži souborů databáze signálu. Útoky byly zaměřeny na Android a Windows.

APT44 pracoval s nástrojem WaveSign, který pravidelně odesílá požadavky do databáze. Zároveň RCLone vyložil odpovědi s nejnovějšími zprávami v systému. Škodlivý software neslavného sekáče, pravděpodobně také vytvořený společností Sandworm, hledal zařízení Android související se signálem pro únos. Hacker Turla, který USA a Velká Británie připisují centru 16 FSB, použil speciální skript PowerShell k získání zprávy ze signální plochy po infekci.

UNC11151, související s Běloruskem, použil robocopy nástroj pro kopírování souborů z Signal Desktop pro další únos. Google dal tipy, jak chránit svá osobní zařízení před možnými útoky hacker: Uživatelé iPhone doporučili, abyste zvážili zapnutí režimu zámku. "Jsme vděční týmu signálu za spolupráci při zkoumání této činnosti. Nejnovější verze signálu a iOS obsahují vylepšené funkce, které v budoucnu chrání před takovými phishingovými kampaněmi.