Rusya destekli hack grupları, Signal, WhatsApp ve Telegram dahil olmak üzere şifreli mesajlaşma hizmetlerini tehlikeye atmak, gazetecileri, politikacıları ve ilgi çekici aktivistleri Rus İstihbarat Servisi’ne potansiyel risk altında yerleştirmek için teknikler geliştirdi.
Google Tehdit İstihbarat Grubu bugün Rusya destekli bilgisayar korsanlarının Ukrayna’daki savaşla ilgili hassas hükümete ve askeri iletişime erişmek için Signal Messenger hesaplarına yönelik saldırıları hızlandırdığını açıkladı.
Analistler, Rusya’nın askeri olmayan sinyal kullanıcılarına ve WhatsApp ve Telegram da dahil olmak üzere diğer şifreli mesajlaşma hizmetlerinin kullanıcılarına karşı korsanlık teknikleri kullanmaya başlamasının sadece bir zaman meselesi olduğunu tahmin ediyorlar.
Google Cloud’un Maniant bölümünde siber casusluk analizi yöneticisi Dan Black, sinyale karşı saldırıların Ukrayna’daki savaşın ötesine ve diğer şifreli mesajlaşma platformlarına genişlediğini görmediği takdirde “kesinlikle şok olacağını” söyledi.
Rusya’nın siber saldırılarda sık sık bir “ilk taşıyıcı” olduğunu ve bunun sadece İran, Çin ve Kuzey Kore gibi diğer ülkelerin istihbarat ilgisi konusunun şifreli mesajlarına saldırmak için istismarları kullanmasının bir zaman meselesi olacağını söyledi. .
Uyarı, Rus istihbaratının Ocak 2025’te Ukrayna hükümet yetkilileri, diplomatlar ve Bellingcat’taki eski bir araştırmacı gazeteci tarafından kullanılan Whatsapp hesaplarına gizlice erişmeye çalışmak için Davos Dünya Ekonomik Forumu için bir parodi web sitesi oluşturduğunu açıklıyor.
Hedeflenen bağlantılı cihazlar
Rusya destekli bilgisayar korsanları, sinyal kullanıcılarının mesajlaşma hesaplarını hızlı yanıt (QR) kodu kullanarak telefonlar ve dizüstü bilgisayarlar da dahil olmak üzere birden fazla cihaza bağlamasına olanak tanıyan Signal’ın “bağlantılı cihazlar” özelliğinden ödün vermeye çalışıyor.
Google Tehdit Analistleri, Rusya bağlantılı tehdit aktörlerinin, tarandığında tehdit oyuncusuna kurbanın telefonunu veya bilgisayarını tehlikeye atmak zorunda kalmadan kurbanın mesajlarına gerçek zamanlı erişim sağlayacak kötü niyetli QR kodları geliştirdiğini bildiriyor.
Bir durumda, Black’e göre, uzlaşmış bir sinyal hesabı Rusya’nın Ukrayna ordusu tugayına karşı bir topçu grevi başlatmasına neden oldu ve bu da bir dizi kayıpla sonuçlandı.
Rusya destekli gruplar, sinyal grubu tartışmalarına davet edilen veya sinyal web sitesinden meşru cihaz eşleştirme talimatları olarak kötü niyetli kodların gizlendiği gözlemlenmiştir.
Bazı hedefli mızrak kimlik avı saldırılarında, Rusya bağlantılı bilgisayar korsanları, saldırının kurbanları tarafından kullanılan uzman uygulamaları taklit etmek için tasarlanmış kimlik avı web sitelerine kötü niyetli QR kodlarını da yerleştirdiler.
Battlefield telefonlarında bulunan Rusya işgal edilmiş sinyal
Rusya Federasyonu Silahlı Kuvvetleri genel personeliyle bağlantılı olan APT44 olarak da bilinen Rusya bağlantılı kum kurdu grubu, savaş alanında ele geçirilen telefonlarda ve bilgisayarlarda sinyal hesaplarından ödün vermek için Ukrayna’daki Rus askeri güçleriyle çalıştı.
Google’ın maniant araştırmacıları, Rus konuşmacılara sinyal veya telgraf hesaplarının APT44 tarafından kontrol edilen altyapı ile nasıl eşleştirileceği konusunda talimatlar veren bir Rus dili web sitesi belirledi.
Black, Computer Weekly’ye verdiği demeçte, “Ekstrapolasyon, yakalanan cihazları savaş alanına dağıtabilmek ve iletişimleri istismar edilecek GRU’ya geri gönderebilmek için Rus güçlerine sağlanıyor.
Rusya’nın, Battlefield istihbaratı için çok sayıda sinyal iletişiminin içeriğini analiz etmek için durdurulan sinyal iletişimini bir “veri gölü” na beslediğine inanılıyor.
Tespit edilmemesi muhtemel uzlaşma
Signal’ın cihaz bağlayan cihazını sömürmeye dayanan saldırıların tespit edilmesi zordur ve başarılı olduğunda, tehlikeye atılan sinyal hesaplarının uzun süre fark edilmeyebileceği yüksek bir risk vardır.
Google, UNC5792 olarak bilinen ve mağdurun sinyal hesabını hackleme grubu tarafından kontrol edilen bir cihaza bağlayan meşru sinyal grubu davet sayfalarının değiştirilmiş sürümlerini kullanan başka bir Rusya destekli saldırgan kümesini tanımladı ve grubun hedefi okumasını ve erişmesini sağladı. Sinyal mesajları.
Rusya’ya bağlı diğer tehdit aktörleri, Ukrayna ordusu tarafından kullanılan Kropyva topçu rehberlik yazılımının bileşenlerini taklit etmek için tasarlanmış bir “kimlik avı kiti” geliştirdiler. UNC4221 olarak bilinen hack grubu, daha önce meşru güvenlik uyarılarını sinyalden taklit etmek için tasarlanmış kötü amaçlı web sayfalarını kullandı.
Grup ayrıca, Web tarayıcılarından temel kullanıcı bilgileri ve coğrafi konum verilerini toplamak için Pinpoint olarak bilinen hafif bir JavaScript yükü kullanmıştır.
Google, güvenli mesajlara erişim ve mağdurların konum verilerinin kombinasyonunun, hedeflenen gözetim operasyonlarını desteklemek veya Ukrayna’daki geleneksel askeri operasyonları desteklemek için kullanılacağı konusunda uyardı.
Android’e saldırılan sinyal veritabanları
Google ayrıca, tehlikeye atılan Android ve Windows cihazlarından sinyal veritabanı dosyalarını çalmak için istismarlar kullanılarak birden fazla tehdit aktörünün gözlemlendiği konusunda uyardı.
2023 yılında, İngiltere’nin Ulusal Siber Güvenlik Merkezi ve Ukrayna Güvenlik Servisi, Sandworm Hacking Group’un Infamous Keski olarak bilinen Android kötü amaçlı yazılımları, Android cihazlarda sinyal de dahil olmak üzere mesajlaşma uygulamalarını aramak için konuşlandırdığı konusunda uyardı.
Kötü amaçlı yazılım, enfekte cihazları WhatsApp mesajları, anlaşmazlık mesajları, coğrafi konum bilgileri ve Rus istihbaratına ilgi duyan diğer verileri tarayabilir. Sinyal ve diğer mesajları tanımlayabilir ve “bunları şifrelenmemiş formda“ paket ”olarak tanımlayabilir.
APT44, bir kurbanın sinyal veritabanından periyodik olarak sinyal mesajlarını sorgulamak ve en son mesajları yaymak için Wavesign olarak bilinen hafif bir Windows toplu komut dosyası çalıştırır.
ABD ve İngiltere tarafından Rus Federal Güvenlik Servisi’ne atfedilen Rus tehdit oyuncusu Turla, sinyal masaüstü mesajlarını dışarı atmak için hafif bir PowerShell betiği kullandı.
Ve Belarus’ta, Rusya’nın bir müttefiki olan UNC1151 olarak adlandırılan bir hack grubu, daha sonra eksfiltrasyon için mesajları ve ekleri saklamak için sinyal masaüstü tarafından kullanılan dosya dizinlerinin içeriğini sıralamak için Robocopy olarak bilinen bir komut satırı yardımcı programı kullandı.
Tehdit altında şifrelenmiş mesajlaşma hizmetleri
Google, birden fazla tehdit aktörünün hedef sinyali yapma girişimlerinin, mesajlaşma hizmetlerini güvence altına almak için artan tehdit için bir uyarı görevi gördüğü ve saldırıların kısa vadeli gelecekte yoğunlaşacağı kesin olduğu konusunda uyardı.
“Çevrimiçi etkinliklerini korumak için güvenli mesajlaşma uygulamalarına güvenen bireylerin hassas iletişimlerini izlemek için kullanılabilecek saldırgan siber yeteneklere yönelik açık ve artan bir talep var gibi görünüyor” dedi.
Saldırılar ‘Meşru Fonksiyon’
Şifreli iletişim kullanıcıları sadece kimlik avı ve kötü amaçlı yazılım saldırılarından değil, aynı zamanda tehdit aktörlerinin bir hedefin cihazına erişimi güvence altına alma yeteneğinden – örneğin şifreyi kırarak.
Black, Rus saldırganların kurbanların telefonlarından ödün vermek veya uygulamanın şifrelemesini kırmak yerine gizli iletişimlere erişmek için sinyalde “meşru bir işlev” kullandıklarını söyledi.
“Hassas iletişime sahip olmak için sinyal kullanan birçok izleyicinin, cihazlarını ikinci bir cihazla eşleştirme riskini düşünmesi gerekiyor” dedi.
Hedeflenen sinyal ve telgraf
Rusya uyumlu gruplar ayrıca sinyal ve telgraf dahil olmak üzere yaygın olarak kullanılan diğer mesajlaşma platformlarını da hedefledi.
Rusya’nın Coldriver, Seaborgium, Callisto ve Star Blizzard olarak bilinen Rusya’nın FSB İstihbarat Servisi ile bağlantılı bir Rus hack grubu, WhatsApp şifreli mesajlaşma kullanan insanlara sosyal mühendislik saldırıları başlatmak için 2024’ün sonlarında taktiklerini değiştirdi.
Grup, milletvekillerini, hükümetlere veya diplomasiye katılan kişileri, araştırma ve savunma politikasını ve Ukrayna’yı destekleyen kuruluşları veya kişileri hedeflemektedir.
2022’de Computer Weekly tarafından maruz bırakıldığı gibi, Star Blizzard, aşırı sert bir Brexit için kampanya yürütmeye adanmış gizli bir sağ kanat ağının diğer üyelerinin yanı sıra eski bir MI6 başkanına ait daha önce hacklenmiş, tehlikeye atılmış ve sızdırılmış e-postalar ve belgeler.
İskoç Ulusal Partisi Milletvekili Stewart McDonald grubun bir başka kurbanıydı. Putin’in Ukrayna’ya karşı savaşını sık sık eleştiren sol kanat serbest gazeteci Paul Mason da grup tarafından hedeflendi ve e-postaları ABD’de Rus yanlısı bir yayın olan Greyzone’a sızdı.
Güvenlik Mühendisliği Profesörü Ross Anderson da dahil olmak üzere Bristol, Cambridge ve Edinburgh Üniversitelerinden akademisyenler, ilk olarak 2023’te bir sınır muhafızı veya samimi bir ortak tarafından erişildiğinde Signal ve WhatsApp’ın masaüstü sürümlerinin tehlikeye atılabileceğini söyledi. gelecekteki tüm mesajları okumalarını sağlar.
Sinyal Sert Güvenlik
Signal, Google’ın bulgularını takip ederek, kullanıcıları sosyal mühendislik taktikleri aracılığıyla hesaplarına erişim girişimlerine karşı uyarmak için eşleştirme işlevinin güvenliğini artırmak için adımlar attı.
Signal kıdemli teknoloji uzmanı Josh Lund, kuruluşun Google tarafından yaklaşılmadan önce potansiyel sosyal mühendislik ve kimlik avı saldırılarını azaltmak için bir dizi güncelleme yaptığını söyledi.
“Google Tehdit İstihbarat Grubu bize ek bilgi verdi ve geri bildirimlerine göre daha fazla iyileştirme yaptık. Yardımları ve yakın işbirliği için minnettarız ”dedi.
O zamandan beri, birisi yeni bir cihazı bağladığında ek uyarılar sağlamak için arayüzün elden geçirilmesi de dahil olmak üzere daha fazla iyileştirme yaptı.
Ayrıca, birincil cihazın sahibi dışında herhangi birinin yeni bir bağlantılı cihaz eklemesini önlemek için ek kimlik doğrulama adımları da getirdi. Herhangi bir yeni cihaz bir sinyal hesabına bağlandığında, birincil aygıt otomatik olarak bir bildirim alır ve kullanıcıların bilinmeyen veya istenmeyen bağlantılı cihazları hızlı bir şekilde gözden geçirmesine ve kaldırmasına izin verir.
Dan Black, grup sohbetlerine bağlantıları kabul etmeden önce insanlara sinyal uygulamasını dikkatlice düşünmelerini tavsiye etti.
“Bildiğiniz bir iletişim ise, grubu doğrudan kendiniz oluşturun. Mesajlaşma uygulamasının özelliklerini kullanarak doğrudan yapabileceğiniz şeyleri yapmak için harici bağlantılar kullanmayın ”dedi.
Dan Black’in blog yazısındaki Sinyaline yönelik Rus saldırıları hakkında daha fazla bilgi edinin.