Rusya’ya uyumlu birden fazla tehdit grubu, ülkenin Ukrayna ile savaşı ile ilgili hassas askeri ve hükümet iletişimlerini değiştirmesi muhtemel bireylerin sinyal messenger uygulamasını aktif olarak hedefliyor.
Son zamanlarda fark eden Google’ın Tehdit İstihbarat Grubu’ndaki (GTIG) araştırmacılara göre, şimdilik faaliyet Rusya’nın istihbarat hizmetleriyle ilgilenen kişilerle sınırlı görünüyor. Ancak aktörlerin kampanyada kullandığı tehditlerin taktikleri, diğer grupların sinyal, whatsapp, telgraf ve diğer popüler mesajlaşma uygulamalarına daha geniş saldırıları takip etmesi için bir plan görevi görebilir, GTIG Bir blog gönderisinde uyarıldı Bu hafta.
Daha yaygın hale gelme olasılığı
Google Tehdit Analisti Dan Black, “Hedef sinyali hedeflemek için kullanılan taktiklerin ve yöntemlerin, yakın vadede yaygınlıkta büyüyeceğini ve Ukrayna Savaş Tiyatrosu dışındaki ek tehdit aktörlerine ve bölgelere çoğalacağını tahmin ediyoruz.”
Google’ın hedefleme sinyalini gözlemlediği Rus siber-karşıt gruplarından ikisi, Ukrayna’nın CERT’nin UAC-0195 olarak izlediği bir tehdit aktörü olan UNC5792’dir-ve UNC4221 (aka UAC-0185). Her iki durumda da saldırganların amacı, hedeflenen kurbanları, sinyal hesaplarını saldırgan kontrollü bir cihaza bilmeden bağlamaları için kandırmaktır, böylece gelen mesajlar aynı anda bağlantılı cihazda mevcuttur.
Saldırılar yararlanıyor “Bağlı cihazlar,“Sinyal uygulamasının, kullanıcıların hesaplarını birden fazla cihazda güvenli bir şekilde bağlamasına ve senkronize etmelerini sağlayan bir özelliği. Bununla birlikte, her tehdit grubunun hesaplarını farkında olmadan ilişkilendirme hedefleri elde etmek için kullandığı taktikler biraz farklıydı.
UNC5782 Ploy, hedeflenen bireylerden kötü niyetli bir QR kodunu paylaşarak bir sinyal grubuna katılmalarını isteyen davetiyeler göndermek oldu. Davetiyeler Signal’ın grup davetiyle aynı görünse de, tehdit aktörleri onları değiştirdi, böylece QR kodunu taramak için sosyal tarafından tasarlanan herkes, hesaplarını UNC592 kontrollü bir cihaza bağlar.
Diğer tehdit grubu UNC4221, Ukrayna’nın ordunun topçu rehberliği için kullandığı bir uygulama olan Kropyva’nın bir kısmını taklit eden özelleştirilmiş bir kimlik avı kiti kullanıyor. Tehdit oyuncusu, Kropyva temalı kimlik avı sitelerini doğrudan üzerine yerleştirilmiş QR kodu ile kurdu. Ayrıca, aldatmaca kurbanlarını kötü niyetli QR kodlarını taramaya teşvik etmek için cihaz bağlantısı için meşru sinyal talimatları içeriyormuş gibi taklit eden kimlik avı siteleri kurdu.
Geniş tehdit aktör ilgisi
Google, UNC4221 ve UNC5782’yi, sinyal elçisini ilgilendiren kişilere casusluk yapmayı hedefleyen birkaç Rus ve Belarus grubundan ikisi olarak tanımladı. UNC4221 ve UNC578’in tüm saldırıları cihaz bağlantısını içermedi. Rusya meşhur kum kurdu Siber-Sabot Grubu (Google’ın APT44 olarak izlediği), kötü amaçlı yazılım araçlarının bir kombinasyonunu kullanarak bir hedefin sinyal veritabanından veya yerel depolama dosyalarından sinyal mesajlarını çalıyor. Benzer şekilde, Turla, bir tehdit oyuncusu ABD hükümeti Rusya’nın Federal Güvenlik Servisi’ne bağlandı (FSB), aynı şeyi bir hedef ortama eriştikten sonra dağıttığı hafif bir PowerShell komut dosyası kullanarak yapıyor. Google’a göre sinyal messenger’ı hedefleyen bölgeden bir başka tehdit aktörü, gelecekteki hırsızlık için sinyal mesajlarını ve ekleri kopyalamak ve saklamak için Robocopy Windows dosya açma aracını kullanan Belarus’a bağlı UNC1151’dir.
Etkinlik hedefleme sinyalinin telaşı, politikacılar, askeri personel, aktivistler, gizlilik savunucuları ve gazeteciler de dahil olmak üzere casusluk ve istihbarat toplama alanlarında kullanılan güvenli mesajlaşma uygulamalarına daha geniş bir saldırganın ilgisinin bir işaretidir. Minimal veri toplama uygulamalarına sahip metin, ses ve videonun uçtan uca şifrelemesini içeren uygulamaların güvenlik özellikleri, onu risk altındaki bireyler ve topluluklar için popüler bir araç haline getirmiştir. Ayrıca, Google’ın Black’i, “bir dizi farklı zeka gereksinimini karşılayabilecek hassas bilgileri engellemek isteyen rakipler için yüksek değerli bir hedef haline getirdi” diye yazdı.
Sinyal tek hedef değil. Black, Rus gruplarının Telegram ve WhatsApp kullanıcılarını aynı şekilde hedef aldığını söyledi. Bir işaret etti Son Microsoft Raporu Rusya Grubu Yıldızı Blizzard’ın Saldırıları (AKA Soğuk algınlığıBlue Charlie, Callisto ve UNC4057) Mevcut ve eski hükümet yetkililerine ve diplomatlara ait WhatsApp hesaplarını hedefleyen.
Önemli bir şekilde, Whatsapp’ı hedefleyen saldırılar işletmeleri de etkiler. WhatsApp-Signal, Telegram ve diğer Messenger uygulamaları gibi-öncelikle tüketici odaklı olsa da, dünya çapında çok sayıda işletme uygulamayı kullanıyor. Whatsapp bile iş versiyonu işletmelerin müşterilerle etkileşim kurmak, satışları hızlandırmak ve müşteri desteği sunmak için kullanabileceği bir araç olarak konumlandırılmıştır.