Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
Google taktiklerin yayılmasını bekliyor; Küresel hedefler ve risk altındaki diğer hizmetler
Akhabokan Akan (Athokan_akhsha) •
19 Şubat 2025
Güvenlik araştırmacıları, Rus ulus-devlet korsanları, kimlik avı saldırıları yoluyla uçtan uca şifreli sohbet uygulaması sinyalinin Ukraynalı kullanıcılarını hedefliyor.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Google Tehdit İstihbarat Grubu tarafından yapılan analiz, birden fazla Rus tehdit aktörünün, esas olarak sosyal mühendislik yoluyla sömürülebilir veri güvenliği çatlakları bulmaya çalıştığını buldu. Uygulamanın politikacılar, gazeteciler ve aktivistler arasındaki popülaritesi, hassas bilgi arayan tehdit aktörleri için yüksek değerli bir hedef haline getiriyor.
Google, Ukraynalı sinyal kullanıcılarına karşı Rus taktikleri muhtemelen dünyaya yayılan kullanıcıların karşılaşacağının bir önizlemesidir. Diyerek şöyle devam etti: “Sinyali hedeflemek için kullanılan taktiklerin ve yöntemlerin yakın vadede yaygınlaşacağını ve Ukrayna Savaş Tiyatrosu dışındaki ek tehdit aktörlerine ve bölgelere çoğalacağını tahmin ediyoruz.”
Rus bilgisayar korsanlarının büyük içgörü, uçtan uca şifrelemeyi atlatmanın, kötü niyetli bir isteme kurbanları sadece mesajlarını ortaya çıkarmaya hazırlayabildiklerinde bir şifreleme saldırısı gerektirmemesidir. Google araştırmacıları tarafından gözlemlenen en yeni ve yaygın olarak kullanılan teknik, kullanıcıların uygulamayı birden fazla cihaza indirmesine olanak tanıyan bir sinyal işlevini kötüye kullanmak için tasarlanan kullanıcılara gönderilen kötü niyetli QR kodları olmuştur.
Bağlantılı cihazlar işlevi, her iki cihazda mesaj geçmişini senkronize ederken kullanıcıların hesaplarına aynı anda bir telefon aracılığıyla ve bir masaüstü cihaz aracılığıyla erişmelerine olanak tanır. Ek bir cihazı birbirine bağlamak tipik olarak bir QR kodunu taramayı gerektirir. Bir tehdit oyuncusu, kendi, kötü amaçlı kodlarını bu sürece sokarak, kendi cihazlarını bir kurbanın sinyal hesabına bağlayabilir ve onlara mesajların tam metnine sürekli olarak erişim sağlar.
Google, “Başarılı olduğunda, bir uzlaşmanın uzun süre fark edilmeyebileceği yüksek bir risk var.”
Tehdit aktörleri, sinyal grubu davet ettikçe kötü niyetli QR kodlarını kamufle etti “veya sinyal web sitesinden meşru cihaz eşleştirme talimatları olarak” diye yazdı Google. Hedeflenen Ukraynalılar tarafından kullanılan özel uygulamalar olarak görünmek için hazırlanmış kimlik avı sayfalarına gömülü QR kodları olarak daha fazla özel girişim ortaya çıkmıştır. Genel olarak Kremlin içinde Kremlin’de Genel Personel Ana İstihbarat Müdürlüğü Ana Teknolojiler Ana Merkezi’nin 74455. Birimi olarak bilinen Sandworm olarak bilinen Rus hack grubu, savaş alanında yakalanan cihazlardaki sinyal hesaplarını bağlamak için Rus kuvvetleriyle de çalışıyor.
Bir tehdit aktörü Google tarafından UNC5792 olarak konuşlandırılan başka bir taktik, kötü amaçlı grup davetlerinin gönderilmesini içerir. Bağlantı, bir sinyal grubuna yönlendirmek yerine kurbanı kurban hesabını bir tehdit oyuncusu hesabına bağlayan bir sayfaya götürür. Ukraynalı siber savunucular UAC-0195 olarak yer alan bu tehdit oyuncusu izliyor.
Sinyal, yorum talebine hemen yanıt vermedi. Google Tehdit İstihbarat Grubu baş analisti Dan Black, bu araştırmanın ardından Sinyal bağlantılı cihaz özelliğini sertleştirdi.
Rus devlet bilgisayar korsanları, WhatsApp ve Telegram da dahil olmak üzere diğer şifreli hizmetleri hedeflemek için benzer taktikler kullanıyor. Microsoft kısa süre önce, düzinelerce sivil toplum kuruluşu ve gazetecisine bağlı WhatsApp hesaplarını hedeflemek için QR kodlarını kullanan Callisto Group, Coldriver ve Star Blizzard olarak izlenen bir Rus Federal Güvenlik Servisi tehdidi aktörüne bağlı benzer bir kampanyayı ortaya çıkardı.