Rosyjscy hakerzy wzięli na celownik popularny komunikator
Badacze cyberbezpieczeństwa opisali zautomatyzowaną i szeroko zakrojoną akcję grupy powiązanej z rosyjskim rządem. To nie było strzelanie na oślep.
Kampania phishingowa wymierzona w użytkowników Signala mogła objąć co najmniej 13 500 osób. Sprawa wyszła na jaw po analizie przeprowadzonej przez badacza z Amnesty International Security Lab, który sam znalazł się na liście celów. Napastnicy podszywali się pod obsługę bezpieczeństwa komunikatora i próbowali przejmować dostęp do kont.
Za atakiem stały komórki hakerów powiązane z Rosją
Mechanizm ataku był prosty. Użytkownicy otrzymywali wiadomość rzekomo pochodzącą od "Signal Security Support ChatBot". Ostrzegała ona przed podejrzaną aktywnością na urządzeniu oraz możliwym wyciekiem danych, a następnie nakłaniał do przejścia procedury weryfikacyjnej. W rzeczywistości chodziło o wyłudzenie kodu lub wykonanie działań pozwalających powiązać konto ofiary z urządzeniem kontrolowanym przez atakujących.
Według ustaleń badacza kampania działała na zasadzie efektu kuli śnieżnej. Po przejęciu jednego konta hakerzy mogli uzyskiwać dostęp do czatów, grup i kontaktów, zyskując listę kolejnych ofiar. Wśród celów mieli znajdować się m.in. dziennikarze oraz współpracownicy organizacji zajmujących się prawami człowieka.
Za atakami miało stać narzędzie znaneo jako "ApocalypseZ", automatyzujące wysyłanie wiadomości i pozwalające prowadzić kampanię na dużą skalę przy ograniczonym udziale operatorów. Kod oraz panel obsługi były przygotowane po rosyjsku, również przechwycone rozmowy ofiar tłumaczono na język rosyjski.
Te szczegóły mają pasować do wcześniejszych ostrzeżeń publikowanych przez amerykańską CISA, brytyjskie służby cyberbezpieczeństwa oraz holenderski wywiad, które łączyły podobne ataki z rosyjskimi służbami.
Jak się przed tym ochronić?
Użytkownicy Signala mogą ograniczyć ryzyko, włączając tzw. "Registration Lock". Funkcja ta zabezpiecza konto dodatkowym kodem PIN, który utrudnia zarejestrowanie tego samego numeru telefonu na innym urządzeniu. Jak zawsze najważniejsza pozostaje jednak ostrożność - Signal nigdy nie prosi o przekazanie kodów weryfikacyjnych na czacie, nawet jeśli wiadomość wygląda jak oficjalny komunikat bezpieczeństwa.
