Google Tehdit İstihbarat Grubu’na (GTIG) göre, Rus devlete uyumlu tehdit aktörleri, sinyal messenger hesaplarından ödün vererek stratejik ilgi alan bireyleri hedefleyen çabalarını yoğunlaştırdılar.
Öncelikle Rusya’nın Ukrayna’daki devam eden askeri operasyonlarıyla bağlantılı olan bu kampanyalar, askeri personel, politikacılar, gazeteciler ve aktivistlerden duyarlı iletişimleri engellemeyi amaçlamaktadır.
Saldırganlar, kullanıcıların hesaplarına birden fazla cihaz bağlamasına olanak tanıyan Signal’ın “Bağlantılı Cihazlar” özelliğini kullanıyor.
Grup davetiyeleri veya güvenlik uyarıları gibi meşru kaynaklar olarak gizlenen kötü niyetli QR kodlarını dağıtarak, tehdit aktörleri mağdur hesaplarını aktör kontrollü cihazlara bağlayarak mesajların gerçek zamanlı müdahalesini sağlayabilir.
Bağlantılı cihazların kötüye kullanılması, düşük imzalı bir saldırı vektörü olarak ortaya çıkmıştır.
Bir cihaz bağlandıktan sonra, bu tür uzlaşmaları izlemek için sınırlı merkezi mekanizmalar olduğu için yetkisiz erişimi tespit etmek zorlaşır.
Bu yöntem, hem uzaktan avlanma işlemlerinde hem de cihazlara fiziksel erişimin mümkün olduğu yakın erişim senaryolarında kullanılmıştır.
Gelişmiş kimlik avı kampanyaları
Önde gelen iki Rus bağlantılı grup, UNC5792 ve UNC4221, bu operasyonlarda kilit oyuncular olarak tanımlanmıştır.
UNC5792, kurbanları hesaplarını saldırgan kontrollü cihazlara bağlamaya yönlendiren kötü niyetli üniforma kaynak tanımlayıcıları (URI’ler) yerleştirerek meşru sinyal grubu davet sayfalarını değiştirmiştir.
Google Tehdit İstihbarat Grubuna göre, bu kimlik avı sayfaları meşru sinyal altyapısını taklit etmek için tasarlanmış alanlarda barındırılıyor.
Benzer şekilde UNC4221, Ukrayna askeri personelini hedefleyen özel kimlik avı kitleri geliştirdi.
Bu kitler genellikle topçu rehberliği için kullanılan Kropyva gibi güvenilir uygulamaların bileşenleri olarak maskelenir.
Grup, kimlik avı web sitelerine veya sahte güvenlik uyarılarına gömülü kötü niyetli QR kodları kullanır ve kurbanları hesaplarını bağlamaya kandırır.
Kimlik avı kampanyalarının ötesinde, diğer Rus ve Belarus tehdit aktörleri, sinyal veritabanı dosyalarını doğrudan tehlikeye atılmış Android ve Windows cihazlarından dışarı atmak için kötü amaçlı yazılım ve komut dosyaları kullandılar.
Örneğin, GRU bağlantılı APT44 grubuna atfedilen kötü amaçlı yazılım “Infamous keski”, Android cihazlarda sinyal veritabanı dosyaları arar.
FSB ile ilişkili başka bir Rus aktör olan Turla, sinyal masaüstü mesajlarını çıkarmak için ortaklık sonrası senaryolarda PowerShell komut dosyalarını kullandı.
Güvenli mesajlaşma platformları için çıkarımlar
Sinyalin hedeflenmesi, WhatsApp ve Telegram gibi güvenli mesajlaşma platformlarına karşı daha geniş bir tehdit eğiliminin altını çiziyor.
Bu tehdit aktörleri tarafından kullanılan taktikler, çatışma bölgelerinde ve ötesinde hassas iletişimleri gözetlemeye yönelik saldırgan siber yeteneklere yönelik artan talebi vurgulamaktadır.
Bu riskleri azaltmak için kullanıcılara, karmaşık şifreleri ve iki faktörlü kimlik doğrulama etkinleştirme, düzenli olarak yetkisiz erişim için bağlantılı cihazların denetlenmesi ve QR kodları veya şüpheli bağlantılarla etkileşime girerken dikkatli olunması gibi sağlam güvenlik uygulamalarını benimsemeleri tavsiye edilir.
Signal ayrıca, uygulamaları güncel tutmanın önemini vurgulayarak bu tür kimlik avı kampanyalarına karşı gelişmiş korumalarla güncellemeler getirdi.
Devlet destekli siber operasyonlar geliştikçe, güvenli mesajlaşma uygulamaları casusluk ve gözetim faaliyetleri için yüksek değerli hedefler olarak kalacaktır.
Bu eğilim, olumsuz sömürüden kritik iletişimi korumak için hem kullanıcılardan hem de geliştiricilerin artan uyanıklığı gerektirir.
Ücretsiz Web Semineri: Olay yanıtı ve tehdit avı için etkileşimli kötü amaçlı yazılım sanal alanına sahip daha iyi SOC – buraya kaydolun