Atores de ameaça ligados à Rússia estão mirando ativamente o Signal Messenger

 (cloud.google.com)
1 pontos por GN⁺ 2025-02-20 | 2 comentários | Compartilhar no WhatsApp

Atores de ameaça ligados à Rússia estão conduzindo atividades para mirar o Signal Messenger

  • O Google Threat Intelligence Group (GTIG) observou atividades de atores de ameaça ligados ao Estado russo visando contas do Signal Messenger. Isso parece ter sido impulsionado por necessidades de guerra para acessar comunicações sensíveis de governo e militares relacionadas à reinvasão russa da Ucrânia. Essas táticas e métodos provavelmente podem se espalhar para mais atores de ameaça e regiões no futuro.

  • O Signal é popular entre alvos comuns de vigilância e espionagem, como militares, políticos, jornalistas e ativistas, tornando-se um alvo de alto valor para adversários que buscam interceptar informações sensíveis. Essa ameaça também se estende a outros aplicativos de mensagens populares, como WhatsApp e Telegram.

  • Em colaboração com a equipe do Signal, as versões mais recentes do Signal agora contam com proteções reforçadas contra campanhas de phishing semelhantes. Recomenda-se atualizar para a versão mais recente.

Campanhas de phishing que abusam do recurso "dispositivos vinculados" do Signal

  • Atores ligados à Rússia abusam do recurso "dispositivos vinculados" para comprometer contas do Signal. Esse recurso permite usar o Signal em vários dispositivos ao mesmo tempo. Eles tentam vincular a conta da vítima a uma instância do Signal controlada pelo ator por meio de QR codes maliciosos.

  • Em operações remotas de phishing, QR codes maliciosos são usados disfarçados como recursos do Signal. Em alguns casos, páginas de phishing que se passam por aplicativos especiais usados pelo exército ucraniano incluem o QR code.

UNC5792: convites de grupo do Signal modificados

  • O UNC5792 modifica a página de "convite de grupo" para redirecionar para uma URL maliciosa a fim de comprometer contas do Signal. Trata-se de uma tentativa de vincular a conta do Signal da vítima a um dispositivo controlado pelo ator.

UNC4221: kit de phishing personalizado para o Signal

  • O UNC4221 tem como alvo contas do Signal usadas por militares ucranianos. O grupo opera um kit de phishing que imita o aplicativo Kropyva e se disfarça como um convite para grupo do Signal vindo de um contato confiável.

Esforços da Rússia e de Belarus para exfiltrar mensagens do Signal

  • Vários atores de ameaça regionais operam capacidades para exfiltrar arquivos de banco de dados do Signal em dispositivos Android e Windows. O APT44 usa um script Windows Batch chamado WAVESIGN para consultar periodicamente mensagens do Signal e exfiltrá-las com o Rclone.

Perspectivas e impacto

  • O fato de vários atores de ameaça terem o Signal como alvo alerta para o aumento das ameaças contra aplicativos de mensagens seguras. Essas ameaças incluem não apenas operações cibernéticas remotas, como phishing e distribuição de malware, mas também operações de acesso físico próximo capazes de obter acesso a dispositivos desbloqueados dos alvos.

  • Pessoas que usam aplicativos de mensagens seguras devem se proteger ativando o bloqueio de tela, atualizando o sistema operacional, ativando o Google Play Protect, tomando cuidado com QR codes e recursos da web e usando autenticação de dois fatores.

Leituras relacionadas

2 comentários

 
ndrgrd 2025-02-20

É verdade que ele é vulnerável, mas é engraçado ver o Telegram — que nem sequer criptografa corretamente os chats em grupo — criticando algo do ponto de vista de segurança.
 
GN⁺ 2025-02-20
Comentários do Hacker News

  • O fluxo de dispositivos vinculados em apps como o Signal já era arriscado há muito tempo

    • Esse problema foi mencionado quando o Telegram criticou o Signal
    • A implementação de dispositivos vinculados era problemática há muito tempo
    • É surpreendente que tenha demorado tanto para o ataque aparecer na literatura aberta
    • Não ajudou o fato de o Signal ter minimizado esse ataque

  • Cheguei à conclusão de que a criptografia E2E exige que o próprio usuário compile e verifique o cliente

    • Tudo o que o protocolo afirma pode acabar sendo inútil
    • Pode haver problemas no processo de distribuição pela App Store do iOS
    • Tudo depende de confiança
    • Usar o Signal pode, por si só, tornar alguém alvo de vigilância
    • A discussão sobre a validade matemática dos protocolos de segurança parece sem sentido

  • Embora isso não seja mencionado claramente no artigo, a primeira etapa do ataque é pegar o smartphone de um soldado morto

  • Se for possível vincular um dispositivo apenas escaneando um QR code, isso é um problema

    • É preciso verificar manualmente os dispositivos vinculados
    • É preciso evitar confundir o escaneamento de código de convite de grupo com a vinculação de dispositivo

  • Alguns domínios foram fornecidos, mas nem todos estão em uso

    • Não se deve confiar em países em guerra
    • Cada país tem sua própria agenda

  • Há muitas vozes dizendo que o Signal foi comprometido

    • O Signal, como uma empresa em escala web, está tentando defender os direitos humanos
    • A dignidade individual importa
    • Não se trata de uma conversa simples

  • A boa notícia é que o alvo foi visado justamente por ser eficaz

  • "Ameaças ligadas à Rússia"... então seria os EUA?

  • No menu de configurações, é possível verificar dispositivos vinculados inesperados