This post is also available in:
English (אנגלית)
בדו"ח שפורסם לאחרונה, Google Threat Intelligence Group (GTIG) פירטו כיצד קבוצות עברייני סייבר רוסיות מנצלות חולשות באפליקציית ההודעות המוצפנת Signal כדי לבצע מתקפות פישינג ולהתקין תוכנות זדוניות מתוחכמות, תוך התמקדות באנשי צבא אוקראינים ואנשים אחרים שמעניינים את המודיעין הרוסי. מתקפות אלה משתמשות בתכונת "מכשירים מקושרים" של סיגנל, המאפשרת למשתמשים לגשת לחשבונות שלהם ממכשירים מרובים באמצעות סריקת קוד QR.
התכונה של מכשירים מקושרים, אשר משמשת בדרך כלל כדי לספק נוחות למשתמש על ידי סינכרון הודעות בין מכשירים, כבר נוצלה לרעה על ידי קבוצות סייבר מוכרות כגון Sandworm ו-Turla. על ידי ניצול פונקציה זו, האקרים יכולים לגשת מרחוק לחשבונות של קורבנות מבלי לתקוף באופן מלא א המכשירים שלהם. לאחר שהקורבן סורק קוד QR זדוני, התוקף מקבל גישה לחשבון הסיגנל של הקורבן, ומאפשר לו לקבל הודעות עתידיות באופן סינכרוני. גישה זו מאפשרת לעברייני הסייבר לצותת לתקשורת רגישה בזמן אמת, תוך סיכון משמעותי ליחידים ולארגונים.
ההתקפות קושרו לקבוצות עברייני סייבר, כולל UNC5792 ו-UNC4221, שפרסמו הזמנות לקבוצות סיגנל זדוניות המחקות הזמנות לגיטימיות. הזמנות מזויפות אלה מכילות קוד QR זדוני שנועד לגרום לקורבנות לקשר את חשבונות הסינגל שלהם למכשירים הנשלטים על ידי התוקפים. בנוסף לגניבת מידע רגיש, התקפות אלה עשויות גם לפגוע בשירותי הודעות מוצפנים אחרים, כולל וואטסאפ וטלגרם, תוך שימוש בטכניקות דומות.
על פי GTIG, קודי QR זדוניים נמצאים בשימוש גם בפעולות גישה קרובה. במקרים מסוימים, פושעי סייבר רוסיים מצאו מכשירים בשדה הקרב והשתמשו בהם כדי לקשר חשבונות סיגנל בחזרה לתשתית מבוקרת לניצול מתמשך. בנוסף, חוקרים ציינו כי Sandworm השתמשה בסקריפטים קלי משקל כדי להריץ שאילתות על מסדי נתונים של סיגנל באופן תדיר כדי לחלץ הודעות אחרונות, ובכך לשפר עוד יותר את יכולות המעקב שלהם.
עכשיו כשפושעי סייבר ממנפים טקטיקות מתוחכמות כדי לנצל מכשירים מקושרים, מתקפות אלה מהוות איום מתפתח למשתמשים של שירותי הודעות מוצפנים ברחבי העולם.
