Các tác nhân đe dọa liên hệ với Nga đang nhắm mục tiêu ứng dụng nhắn tin Signal
-
Google Threat Intelligence Group (GTIG) đã quan sát thấy các tác nhân đe dọa có liên hệ với nhà nước Nga nhắm mục tiêu vào các tài khoản Signal Messenger. Điều này dường như được thúc đẩy bởi nhu cầu thời chiến nhằm tiếp cận các liên lạc chính phủ và quân sự nhạy cảm liên quan đến cuộc tái xâm lược Ukraine của Nga. Những chiến thuật và phương pháp này có khả năng lan sang nhiều tác nhân đe dọa và khu vực khác trong tương lai.
-
Signal rất phổ biến trong các nhóm thường là mục tiêu của hoạt động giám sát và tình báo như binh sĩ, chính trị gia, nhà báo và nhà hoạt động, nên trở thành mục tiêu có giá trị cao đối với các đối thủ muốn chặn thu thập thông tin nhạy cảm. Mối đe dọa này cũng mở rộng sang các ứng dụng nhắn tin phổ biến khác như WhatsApp và Telegram.
-
Thông qua hợp tác với đội ngũ Signal, các phiên bản Signal mới nhất đã được tăng cường khả năng bảo vệ trước những chiến dịch phishing tương tự. Khuyến nghị cập nhật lên phiên bản mới nhất.
Chiến dịch phishing lạm dụng tính năng "Thiết bị được liên kết" của Signal
-
Các tác nhân liên hệ với Nga lạm dụng tính năng "Thiết bị được liên kết" để xâm phạm tài khoản Signal. Tính năng này cho phép sử dụng Signal đồng thời trên nhiều thiết bị. Chúng tìm cách liên kết tài khoản của nạn nhân với một phiên bản Signal do tác nhân kiểm soát thông qua mã QR độc hại.
-
Trong các chiến dịch phishing từ xa, mã QR độc hại được ngụy trang thành tài nguyên của Signal. Mã QR cũng có thể xuất hiện trên các trang phishing giả mạo ứng dụng chuyên dụng được quân đội Ukraine sử dụng.
UNC5792: Thư mời nhóm Signal đã bị chỉnh sửa
- UNC5792 sửa đổi trang "lời mời nhóm" để chuyển hướng sang URL độc hại nhằm xâm phạm tài khoản Signal. Đây là nỗ lực liên kết tài khoản Signal của nạn nhân với một thiết bị do tác nhân kiểm soát.
UNC4221: Bộ kit phishing Signal tùy chỉnh
- UNC4221 nhắm vào các tài khoản Signal do binh sĩ Ukraine sử dụng. Nhóm này vận hành một bộ kit phishing mô phỏng ứng dụng Kropyva và ngụy trang thành lời mời tham gia nhóm Signal từ một liên hệ đáng tin cậy.
Nỗ lực đánh cắp tin nhắn Signal tại Nga và Belarus
- Nhiều tác nhân đe dọa trong khu vực vận hành năng lực đánh cắp các tệp cơ sở dữ liệu Signal trên thiết bị Android và Windows. APT44 sử dụng script Windows Batch có tên WAVESIGN để truy vấn định kỳ các tin nhắn Signal và đánh cắp chúng bằng Rclone.
Triển vọng và tác động
-
Việc nhiều tác nhân đe dọa cùng nhắm vào Signal là lời cảnh báo rằng các mối đe dọa đối với ứng dụng nhắn tin bảo mật đang gia tăng. Những mối đe dọa này không chỉ bao gồm các chiến dịch mạng từ xa như phishing và phát tán mã độc, mà còn cả các chiến dịch tiếp cận gần có thể giành quyền truy cập vào thiết bị đã được mở khóa của mục tiêu.
-
Những người sử dụng ứng dụng nhắn tin bảo mật nên tự bảo vệ bằng cách bật khóa màn hình, cập nhật hệ điều hành, bật Google Play Protect, cẩn trọng với mã QR và tài nguyên web, cũng như sử dụng xác thực hai yếu tố.
2 bình luận
Đúng là có lỗ hổng thật, nhưng việc Telegram — vốn còn chẳng mã hóa tử tế cả chat nhóm — lại đi chỉ trích về mặt bảo mật thì đúng là buồn cười.
Ý kiến trên Hacker News
Quy trình liên kết thiết bị của các ứng dụng như Signal từ lâu đã tiềm ẩn rủi ro
Đã nhận ra rằng mã hóa E2E đòi hỏi người dùng phải tự xây dựng và tự xác minh client
Dù bài viết không nói rõ, nhưng bước đầu tiên của cuộc tấn công là lấy chiếc smartphone của người đã tử trận
Nếu chỉ quét mã QR là có thể liên kết thiết bị thì đây là một vấn đề
Một số domain đã được cung cấp, nhưng không phải tất cả đều đang được sử dụng
Có nhiều tiếng nói cho rằng Signal đã bị xâm phạm
Tin tốt là mục tiêu bị nhắm tới vì nó hiệu quả
"Mối đe dọa có liên hệ với Nga"... vậy là Mỹ sao?
Có thể kiểm tra các thiết bị được liên kết ngoài dự kiến trong menu cài đặt