Více ruských hackerských skupin bylo pozorováno při cílení na jednotlivce prostřednictvím aplikace Signal, zaměřené na ochranu soukromí, aby získali neoprávněný přístup k jejich účtům.
„Nejnovější a nejčastěji používanou technikou, kterou ruské skupiny využívají k napadení účtů v aplikaci Signal, je zneužití legitimní funkce aplikace ‚propojená zařízení‘, která umožňuje používat Signal na více zařízeních současně,“ uvedla ve své zprávě skupina Google Threat Intelligence Group (GTIG).
Při útocích, které byly odhaleny týmy pro analýzu hrozeb technologického giganta, hackeři, včetně skupiny označované jako UNC5792, použili škodlivé QR kódy, které po naskenování propojí účet oběti s instancí aplikace Signal ovládanou útočníkem.
Výsledkem je, že budoucí zprávy jsou doručovány současně jak oběti, tak útočníkovi v reálném čase, což útočníkům poskytuje trvalý způsob, jak odposlouchávat konverzace oběti. Google uvedl, že skupina UAC-0195 částečně překrývá aktivity hackerské skupiny známé jako UAC-0195.
Tyto QR kódy se často vydávají za pozvánky do skupin, bezpečnostní upozornění nebo legitimní pokyny pro párování zařízení z webu aplikace Signal. Alternativně byly škodlivé QR kódy nalezeny na phishingových stránkách, které se vydávají za specializované aplikace používané ukrajinskou armádou.
„UNC5792 hostovala upravené pozvánky do skupin aplikace Signal na infrastruktuře ovládané útočníky, která byla navržena tak, aby vypadala identicky jako legitimní pozvánka do skupiny Signal,“ uvedl Google.
Další hackerská skupina spojená s útoky na Signal je UNC4221 (také známá jako UAC-0185), která se zaměřila na účty Signal používané ukrajinským vojenským personálem prostřednictvím vlastního phishingového kitu, který napodobuje určité aspekty aplikace Kropyva, používané ukrajinskými ozbrojenými silami pro navádění dělostřelectva.
Zdroj: The Hacker News
Zdroj: IT SECURITY NETWORK NEWS