Alerta sobre la privacidad de los mensajes encriptados para apuntar a Russia Signal Messenger
8 min read
Los grupos de piratería respaldados por Rusia han desarrollado estrategias para comprometerse con servicios de mensajería cifrados que incluyen señales, WhatsApp y Telegram, periodistas instalados, políticos y personal interesado en servicios de inteligencia rusos con riesgo potencial.
El grupo de detectives amenazantes de Google ha revelado hoy que los piratas informáticos respaldados por Rusia han estado atacando las explicaciones de mensajeros de señal para gobiernos sensibles en la guerra de Ucrania y la comunicación militar.
Los analistas han predicho que es solo cuestión de tiempo antes de la estrategia de piratería contra los usuarios de la señal no militar de Rusia y otros servicios de mensajes cifrados, incluidos WhatsApp y Telegram.
Dan Black, gerente de análisis de espías cibernéticos en el mandente departamento de Google Cloud, dijo que estaría “absolutamente conmocionado” si no viera el ataque a las guerras fuera de Ucrania y otras plataformas de mensajería cifradas.
Dijo que Rusia era a menudo un “primer motor” en los ataques cibernéticos, y otros países como Irán, China y Corea del Norte serían solo cuestión de tiempo antes de usar la explotación para atacar los mensajes cifrados de intereses de inteligencia.
La advertencia sigue las revelaciones de que el detective ruso ha creado un Sitio web de Spoof para el Foro Económico Mundial de Davos Para intentar con la privacidad para lograr el acceso a las cuentas de WhatsApp utilizadas por funcionarios del gobierno ucraniano, diplomáticos y ex periodistas investigadores en enero de 2025 EmpañadoEl
Los dispositivos vinculados son objetivo
Los piratas informáticos respaldados por Rusia están tratando de comprometer la capacidad de “dispositivos vinculados” de la señal, que permiten a los usuarios de señales vincular a su mensaje con múltiples dispositivos, incluidos el teléfono y la computadora portátil utilizando un código de respuesta rápida (QR).
Los analistas de Google Amenazas han informado que los actores de amenaza conectados a Rusia han creado códigos QR contaminados que darán acceso a tiempo en tiempo real al teléfono o computadora de la víctima sin comprometer la amenaza.
En un caso, según Black, una cuenta de señal comprometida llevó a Rusia a lanzar una huelga de artillería contra la brigada del ejército ucraniano, lo que resultó en varias víctimas.
Los grupos respaldados por Rusia han sido vistos como una invitación para las discusiones de grupos de señales o en códigos de disfraz en los códigos como instrucciones para emparejar un dispositivo válido desde el sitio web de la señal.
En algunos ataques de phishing de lanza objetivo, los piratas informáticos conectados a Rusia integraron los códigos Corruptos QR en sitios web de phishing diseñados para duplicar las aplicaciones expertas utilizadas por las víctimas.
Se encontraron señales compatibles con Rusia en los teléfonos de Battlefield
El Grupo de lombrices de arena conectado a Rusia, también conocido como APT 44, está asociado con el personal general de las fuerzas armadas de la Federación Rusa, para comprometerse en las cuentas de la señal del teléfono y la computadora en el campo de batalla con las fuerzas militares rusas de Ucrania.
Los investigadores mandientas de Google han identificado un sitio web de idiomas rusos que dirige a los hablantes rusos sobre cómo las señales o las cuentas de telegramas se pueden pagar a la infraestructura controlada por APT 44.
Black Computer le dijo a The Weekly: “La extrolación se proporcionará a las fuerzas rusas para establecer dispositivos cautivos en el campo de batalla y poder regresar al Gru para explotar los contactos”, dijo Weekly de Black Computer.
Se cree que Rusia ha devuelto el “lago de datos” para analizar el contenido de una gran cantidad de comunicaciones de señal para la inteligencia de inteligencia en el campo de batalla.
El compromiso probablemente no sea detectado
Los ataques, que son difíciles de detectar en función de la potencia absorbente del dispositivo de señal absorbente, y si tiene éxito, existe un mayor riesgo de que las cuentas de la señal comprometidas no sean notadas durante mucho tiempo.
El clúster One More de Google ha detectado Invasor respaldado por RusiaConocido como UNC5792Utiliza una versión variable del grupo de señal válido que conecta la cuenta de señal de la víctima a un dispositivo controlado por el grupo de piratería, habilita que el grupo lea y acceda a los mensajes de señal del objetivo.
Otros actores de amenaza relacionados con la Rusia han creado una señal “Kit de phishing” cuyos elementos están diseñados para duplicar los elementos De cosecha Software de guía de artillería utilizado por el ejército ucraniano. El grupo de piratería, conocido como UNC4221, se usó previamente para duplicar la advertencia de seguridad válida de las señales.
El grupo también ha utilizado una carga de pago de JavaScript de peso ligero para recopilar información básica del usuario y datos de datos geográficos de navegadores web, conocidos como Pinpoint.
Google advierte que una combinación de mensajes protegidos y ubicaciones de daños se puede utilizar para realizar actividades de vigilancia objetivo o para apoyar la operación militar convencional de Ucrania.
Las bases de datos de señales han atacado a Android
Google también advirtió que se observaron múltiples actores de amenaza utilizando los dispositivos Android y Windows comprometidos utilizando la absorción para robar archivos de base de datos de señal.
En 2021, el Centro Nacional de Seguridad Cibernética del Reino Unido y los Servicios de Seguridad de Ucrania advirtieron que el Grupo de piratería de lombrices de arena ha desplegado malware Android, conocido como el infame cincel, para encontrar señales, incluidas las señales en dispositivos Android.
El malware es capaz de escanear dispositivos infectados para mensajes de WhatsApp, mensajes de discordia, información geológica y otros datos de inteligencia rusa. Es capaz de detectar señales y otros mensajes y “paquete” en forma de cifrado para la explotación.
APT 44 opera un script liviano de lotes de Windows, conocido como Weavesine, para pedirle señales a la base de datos de señal de una víctima periódicamente para pedir los mensajes de señal y externalizar mensajes recientes.
El actor de amenaza rusa Turla, que culpó a los Estados Unidos y al Reino Unido como el Servicio de Seguridad Federal Rusia, utilizó un guión ligero de Powerhall para explicar los mensajes de escritorio de señales.
Y un grupo de piratería nominado como UNC 1151 ha utilizado una utilidad de línea de comandos, conocida como UNC 1151, para alinear el contenido de los directores de archivos utilizados por Signal Desktop para preservar el mensaje y el archivo adjunto para la próxima exfiltración.
Servicio de mensajes encriptado en amenazas
Google advierte que los actores de múltiples amenazas sirven como una advertencia para aumentar las amenazas para proteger los servicios de mensajería de múltiples actores de amenazas, y los ataques están seguros de que los ataques serán más intensos en el futuro.
Establece que “existe una demanda obvia y creciente de capacidad cibernética agresiva que puede usarse para monitorear los contactos sensibles de las personas que dependen de mensajes protegidos para proteger sus actividades en línea”, afirma.
Los ataques absorben ‘funciones legítimas’
Los usuarios de comunicación cifrados no solo corren el riesgo de phishing y ataques de malware, sino también de la capacidad de asegurar el acceso a un dispositivo objetivo de actores amenazados, por ejemplo, la contraseña está rota.
Black dijo que era notorio que los invasores rusos estaban usando un “trabajo válido” en la señal para lograr el acceso confidencial de la comunicación en lugar de la encriptación de las víctimas.
“Muchas audiencias que están utilizando la señal para la comunicación sensible deberían pensar en el riesgo de combinar su dispositivo en el segundo dispositivo”, dijo.
Las señales y los telegramas son objetivo
Los grupos conectados a Rusia también se dirigieron a otras plataformas de mensajería ampliamente utilizadas, incluidas señales y telegrama.
Un grupo de piratería ruso asociado con el servicio de detectives FSB en Rusia, que se conoce como ColdRiver, Ciborgium, Colisto y Tormenta de estrellasWhatsApp transfirió sus estrategias a fines de 2024 para lanzar ataques de ingeniería social a personas utilizando mensajes cifrados.
El grupo apunta a los parlamentarios, el gobierno o la diplomacia, la política de investigación y defensa y las agencias o individuos de apoyo de Ucrania.
Según lo publicado por Computer Weekly en 2022, el anterior jefe de Star Blizzard pirateó, comprometió y se filtró, así como a otros miembros de una red confidencial derecha dedicada a una campaña extrema del Brexit duro para un Brexit duro extremo.
El diputado del Partido Nacional Escocés, Stuart McDonald, fue víctima de otro grupo. El equipo también notó que el equipo, que a menudo criticaba la guerra de Putin contra Ucrania, quien a menudo criticaba la guerra de Putin contra Ucrania, y sus correos electrónicos filtraron el Grazon de publicación rusa en los Estados Unidos.
Las universidades de Bristol, Cambridge y Edimburgo, junto con el difunto Ross Anderson de Security Engineering, se publicaron por primera vez en 2021 que las versiones de escritorio de Signal y WhatsApp podrían acceder a un socio fronterizo o un socio íntimo, todos sus mensajes futuros se podían leer .
Protección de la señal de endurecimiento
Signal ha tomado medidas para mejorar la protección de sus funciones de par para advertir a los usuarios sobre los posibles esfuerzos para lograr el acceso a sus cuentas a través de estrategias de ingeniería social después de la búsqueda de Google.
Josh Lond, tecnólogo senior de la señal, dijo que la compañía lanzó varias actualizaciones para aliviar los posibles ataques de ingeniería social y phishing antes de acercarse a Google.
“El Grupo de Inteligencia de Amenazos de Google nos proporcionó información adicional y hemos introducido una mejora adicional sobre la base de su respuesta. Estamos agradecidos por su ayuda y cooperación estrecha ”, dijo a Computer Weekly.
Cuando alguien vincula un nuevo dispositivo, la interfaz ha mejorado la señal al sobrecargar la interfaz para una advertencia adicional.
También ha introducido pasos de autenticación adicionales para evitar la adición de un nuevo dispositivo vinculado que no sea el propietario del dispositivo principal. Cuando un nuevo dispositivo está conectado a una cuenta de señal, el dispositivo inicial recibirá automáticamente una notificación, permitirá a los usuarios revisar y eliminar rápidamente los dispositivos de enlaces desconocidos o no deseados.
Dan Black Group ha aconsejado a las personas que piensen cuidadosamente en la aplicación Signal antes de recibir enlaces a los chats grupales.
“Si esta es una comunicación que conoces, solo hazte un grupo directo. No use enlaces externos para hacer cosas que pueda usar directamente las características de la aplicación de mensajería “, dijo.
Lea más sobre el ataque ruso contra la señal Publicación de blog de Dan BlackEl
