Rosyjscy hakerzy atakują aplikacje do wiadomości, celując w osoby o wysokiej wartości wywiadowczej
Agencja Cybersecurity and Infrastructure Security Agency (CISA) oraz Federalne Biuro Śledcze (FBI) poinformowały w piątek o prowadzonych przez powiązane z rosyjskimi służbami wywiadowczymi kampaniach phishingowych, które mają na celu przejęcie kontroli nad kontami w komercyjnych aplikacjach do wiadomości, takich jak WhatsApp i Signal. Ataki te wymierzone są w osoby o dużej wartości wywiadowczej, w tym aktualnych i byłych urzędników rządowych USA, wojskowych, postacie polityczne oraz dziennikarzy.
„Kampania ta skupia się na osobach o wysokiej wartości wywiadowczej, co obejmuje obecnych i byłych urzędników rządowych USA, personel wojskowy, liderów politycznych oraz dziennikarzy” – powiedział dyrektor FBI Kash Patel w poście na platformie X. „Na całym świecie, te działania prowadziły do nieautoryzowanego dostępu do tysięcy indywidualnych kont. Po uzyskaniu dostępu, hakerzy mogą przeglądać wiadomości i listy kontaktów, wysyłać wiadomości jako ofiara, a także prowadzić dalsze ataki phishingowe, podszywając się pod zaufaną tożsamość.”
Zarówno CISA, jak i FBI potwierdziły, że działania te doprowadziły do kompromitacji tysięcy kont CMA. Ważne jest, aby zauważyć, że ataki mają na celu włamanie się do wytypowanych kont i nie wykorzystują żadnych luk bezpieczeństwa ani słabości platform kryptograficznych.
Choć agencje nie przypisały tych działań konkretnemu podmiotowi, wcześniejsze raporty z Microsoft oraz Google Threat Intelligence Group powiązały takie kampanie z wieloma grupami odmiennych zagrożeń, które są monitorowane jako Star Blizzard, UNC5792 (znane również jako UAC-0195) oraz UNC4221 (znane również jako UAC-0185).
Wzrost liczby ataków na komunikatory
W podobnym ostrzeżeniu, Francuskie Krajowe Centrum Koordynacji Kryzysowej Cyberbezpieczeństwa (C4), będące częścią ANSSI, zauważyło wzrost kampanii atakujących konta komunikatorów błyskawicznych związanych z urzędnikami rządowymi, dziennikarzami oraz liderami biznesu. „Te ataki – gdy są skuteczne – mogą pozwolić złoczyńcom na dostęp do historii rozmów lub nawet na przejęcie kontroli nad kontami szybkiej wymiany wiadomości swoich ofiar, co pozwala na wysyłanie wiadomości ich imieniem” – podkreśliło C4.
Celem całej kampanii jest umożliwienie atakującym uzyskania nieautoryzowanego dostępu do kont ofiar, co umożliwia im przeglądanie wiadomości i list kontaktów, wysyłanie wiadomości w ich imieniu oraz prowadzenie dalszych ataków phishingowych, wykorzystując zaufane relacje.
Metody socjotechniczne
Jak niedawno ostrzegły agencje cyberbezpieczeństwa z Niemiec i Holandii, atakujący podają się za „Wsparcie dla Signala”, aby zbliżyć się do celów i nakłonić je do kliknięcia w link (lub alternatywnie zeskanowania kodu QR) lub podania kodu PIN lub weryfikacyjnego. W obu przypadkach schemat inżynierii społecznej umożliwia hakerom uzyskanie dostępu do konta CMA ofiary.
Kampania ma dwa różne skutki w zależności od metody, z jakiej skorzysta ofiara:
- Jeśli ofiara zdecyduje się wskazać kod PIN lub kod weryfikacyjny atakującemu, traci dostęp do swojego konta, ponieważ napastnik używa go do odzyskania konta na swoim końcu. Chociaż haker nie ma dostępu do przeszłych wiadomości, ta metoda może być używana do monitorowania nowych wiadomości oraz wysyłania wiadomości do innych, podszywając się pod ofiarę.
- Jeżeli ofiara kliknie w link lub zeskanuje kod QR, urządzenie kontrolowane przez atakującego łączy się z kontem ofiary, co pozwala mu uzyskać dostęp do wszystkich wiadomości, w tym tych wysłanych w przeszłości. W tym scenariuszu ofiara wciąż ma dostęp do konta CMA, o ile nie zostanie wyraźnie usunięta z ustawień aplikacji.
Zalecenia dotyczące bezpieczeństwa
Aby lepiej chronić się przed zagrożeniem, użytkownicy są zachęcani do nigdy nieudostępniania swojego kodu SMS lub kodu weryfikacyjnego nikomu, zachowania ostrożności przy otrzymywaniu nieoczekiwanych wiadomości od nieznanych kontaktów, sprawdzania linków przed ich kliknięciem oraz okresowego przeglądania połączonych urządzeń i usuwania tych, które wydają się podejrzane.
„Te ataki, jak wszystkie phishingowe, polegają na inżynierii społecznej. Napastnicy podszywają się pod zaufane kontakty lub usługi (takie jak nieistniejący „Bot Wsparcia dla Signala”), aby oszukać ofiary i skłonić je do przekazania swoich danych logowania lub innych informacji” – stwierdził Signal w poście na X na początku tego miesiąca.
„Aby temu zapobiec, pamiętaj, że kod weryfikacyjny SMS w Signalu jest potrzebny tylko wtedy, gdy po raz pierwszy rejestrujesz się w aplikacji Signal. Podkreślamy również, że Wsparcie dla Signala *nigdy* nie nawiązuje kontaktu za pomocą wiadomości w aplikacji, SMS-a ani mediów społecznościowych, aby poprosić o twój kod weryfikacyjny czy PIN. Jeśli ktokolwiek prosi o jakikolwiek kod związany z Signalem, to jest to oszustwo.”
