Rus devlet destekli bilgisayar korsanları, özellikle Ukrayna askeri personeli, hükümet yetkilileri ve diğer önemli rakamlar tarafından kullanılan sinyal messenger hesaplarından ödün verme çabalarını artırıyor. Siber güvenlik araştırmacıları, bu sinyal saldırılarının Moskova’nın Ukrayna’ya karşı savaş çabalarını destekleyebilecek hassas iletişimlere erişim sağlamayı amaçlayan daha geniş casusluk operasyonlarının bir parçası olduğu konusunda uyardı.
Birincil casusluk hedefi olarak sinyal
Google’ın güvenlik ekibinden gelen bir rapor, Signal’ın askeri personel, politikacılar, gazeteciler ve aktivistler arasında yaygın olarak benimsenmesinin onu Rus hackerlar için cazip bir hedef haline getirdiğini vurgulamaktadır. Bununla birlikte, WhatsApp ve Telegram da dahil olmak üzere diğer mesajlaşma platformları da benzer hedefleme taktiklerine maruz kalmıştır.
Ukraynalı siber güvenlik yetkilileri daha önce Rus hacker gruplarının, hükümet ve savunma yetkililerinin iletişimine sızmak için sinyaldeki güvenlik açıklarından aktif olarak kullandıkları konusunda uyarmıştı. Bu gruplar tarafından kullanılan birincil yöntem, kurbanlara casusluk yapmak için tasarlanmış kötü amaçlı yazılımlar sunan kimlik avı saldırılarını içerir.
Signal’ın “Bağlantılı Cihazlar” özelliğinin kötüye kullanılması
Google tarafından ortaya çıkarılan en yenilikçi ve sık kullanılan tekniklerden biri, sinyalin meşru “bağlantılı cihazlar” özelliğinin kullanılmasını içerir. Bu özellik, kullanıcıların sinyal hesaplarını birden çok cihazda senkronize etmelerini sağlar, bu da bilgisayar korsanlarının kötüye kullanmanın yollarını buldukları bir özelliktir.
Kötü niyetli QR kodları
Bilgisayar korsanları, yeni bir cihazı mevcut bir sinyal hesabına bağlamak için gerekli kötü niyetli QR kodları oluşturur. Bir hedef kodu taradığında, sinyal hesapları saldırgan kontrollü bir cihaz için erişilebilir hale gelir ve mesajların gerçek zamanlı olarak ele geçirilmesine izin verir. Bu teknik, siber suçlulara tam cihaz uzlaşmasına ihtiyaç duymadan kurbanların iletişimlerini izlemek için kalıcı bir arka kapı sağlar.
QR kodu dağılımı yöntemleri
- Kimlik avı kampanyaları – Bilgisayar korsanları, meşru sinyal grubu davetleri, güvenlik uyarıları veya diğer güvenilir iletişimler olarak kötü niyetli QR kodlarını gizler.
- Askeri temalı kimlik avı sayfaları – Kötü niyetli QR kodları, Ukrayna askeri personeli tarafından kullanılan uygulamaları taklit eden kimlik avı sayfalarına yerleştirilmiştir.
- Yakalanan Battlefield Cihazları -Kötü şöhretli Sandworm Hacking Grubunun yardımıyla Rus askeri güçleri, ele geçirilen Ukrayna cihazlarından sinyal hesaplarını istihbarat toplama için saldırgan kontrollü sistemlere bağlıyor.
Sinyal saldırılarının arkasında Rus tehdit aktörleri
Bu siber casusluk kampanyalarında birkaç Rus devlete bağlı hack grubu olarak tanımlanmıştır.
Kum kurdu
APT44 olarak da bilinen kum kurdu, sinyal hesaplarının uzlaşmasının arkasında itici bir güç olmuştur. Google araştırmacıları, Sandworm’un, içinde bulunan bilgileri daha da kullanmak için Battlefield cihazlarından alınan sinyal hesaplarında Rus askeri birimlerine yardımcı olduğuna dair kanıtlar buldular.
UNC4221 ve UNC5792
Başka bir Rus tehdit oyuncusu olan UNC4221, Ukrayna ordusunun Kropyva topçu rehberlik başvurusunu taklit etmek için tasarlanmış bir sinyal kimlik avı kiti geliştirdi. Bu taktik kurbanları sinyal hesaplarını saldırgan kontrollü cihazlara bağlamaya alıyor. Ayrıca, UNC4221, kullanıcı verileri ve coğrafi konum bilgilerini toplayan Pinpoint olarak bilinen bir JavaScript yükü dağıttı.
UNC5792, meşru sinyal grubu davetlerini değiştirerek, kullanıcıları kötü amaçlı URL’lere yönlendiren kimlik avı bağlantılarıyla değiştirerek, nihayetinde kurban hesaplarını hacker kontrollü cihazlara bağlayan kimlik avı bağlantılarıyla gözlemlenmiştir.
Sinyal veritabanı eksfiltrasyonu
Hacker tarafından kontrol edilen cihazları kurbanların hesaplarına bağlamanın ötesinde, Rus uyumlu tehdit aktörleri de Android ve Windows cihazlarından sinyal veritabanı dosyalarını çalmak için yöntemler geliştirdi.
- Sandworm’s Wavesign Malware – Mağdurların sinyal veritabanlarından mesajlar çıkarmak için dağıtıldı.
- Turla’nın PowerShell senaryosu – Signal’ın masaüstü sürümünden mesajları dışarı atmak için kullanılır.
- Infamous keski kötü amaçlı yazılım – Sandworm’a atfedildi ve Ukrayna Güvenlik Servisi (SSU) ve İngiltere Ulusal Siber Güvenlik Merkezi (NCSC) tarafından tanımlandı. Bu Android kötü amaçlı yazılım, çıkarma için sinyal veritabanı dosyalarını arar.
- UNC1151’in Robocopy kullanımı -Belarus bağlantılı hackleme grubu UNC1151, komut satırı aracı robokopisini daha sonra eksfiltrasyon için Sinyal mesaj dosyalarını aşamalı olarak kullandı.
Çıkarımlar ve gelecekteki tehditler
Google’ın araştırması, bu saldırıların öncelikle hassas Ukrayna hükümetine ve askeri iletişimlere erişim için savaş zamanı talepleri tarafından yönlendirildiğini göstermektedir. Bununla birlikte, tehdit manzarası gelişiyor, araştırmacılar bu taktiklerin Ukrayna çatışmasının ötesine yayılmasını bekliyorlar.
Google’ın güvenlik ekibi, “Çevrimiçi etkinliklerini korumak için güvenli mesajlaşma uygulamalarına güvenen bireylerin hassas iletişimlerini izlemek için kullanılabilecek saldırgan siber yeteneklere yönelik açık ve artan bir talep var gibi görünüyor” dedi.
Sinyale odaklanma, güçlü şifrelemelerine rağmen güvenli mesajlaşma uygulamalarının devlet destekli casusluk için cazip hedefler olarak kaldığını hatırlatmaktır. Uzmanlar, benzer bir tradecraft’ın dünya çapında risk altındaki topluluklar için risk oluşturan ek tehdit aktörleri tarafından benimseneceğini öngörüyorlar.
Savunma önlemleri ve sinyalin yanıtı
Bu ortaya çıkan tehditlere yanıt olarak, Signal güvenlik özelliklerini geliştirmek için aktif olarak çalışıyor. Android ve iOS için en son sinyal sürümleri, kimlik avı denemelerini ve yetkisiz cihaz bağlantısını azaltmak için tasarlanmış güncellemeleri içerir.
Google araştırmacıları, kullanıcıları aşağıdakiler dahil olmak üzere önlem almaya çağırdı:
- QR kodlarının doğrulanması – Bilinmeyen kaynaklardan alınan QR kodlarını asla taramayın.
- Sinyali düzenli olarak güncelleme – En son güvenlik güncellemelerinin yüklenmesini sağlamak.
- Bağlantılı cihazların izlenmesi – Bağlantılı cihazlar listesinden bilinmeyen cihazların sinyal ayarlarında düzenli olarak kontrol edilmesi ve kaldırılması.
- Çok faktörlü kimlik doğrulama (MFA) kullanma – Mümkün olduğunda MFA’nın ek bir güvenlik katmanı eklemesini sağlar.
Rus devlet destekli bilgisayar korsanları tarafından sinyalin agresif hedeflemesi, modern savaşta siber tehditlerin gelişen doğasını vurgulamaktadır. Sinyal ve diğer güvenli mesajlaşma platformları küresel iletişimde önemli bir rol oynamaya devam ettikçe, kullanıcılar-özellikle yüksek riskli ortamlarda olanlar-kimlik avı saldırılarına ve diğer casusluk tekniklerine karşı uyanık kalırlar.