Investigator de spyware demască o amplă operațiune a hackerilor guvernamentali ruși care încearcă să preia conturi Signal

La începutul acestui an, cercetătorul în securitate Donncha Ó Cearbhaill, specializat în investigarea atacurilor cu spyware, s-a aflat într-o situație neobișnuită: de data aceasta, el a devenit ținta hackerilor.

„Dear User, this is Signal Security Support ChatBot. We have noticed suspicious activity on your device, which could have led to data leak,” era mesajul pe care l-a primit în contul său de Signal.

„We have also detected attempts to gain access to your private data in Signal”, mai susținea mesajul.

„To prevent this, you have to pass verification procedure, entering the verification code to Signal Security Support Chatbot. DON’T TELL ANYONE THE CODE, NOT EVEN SIGNAL EMPLOYEES.”

Ó Cearbhaill, care conduce Security Lab al Amnesty International, a recunoscut imediat că este vorba de o tentativă „neinspirată” de a-i compromite contul de Signal. In loc să ignore atacul, a decis să profite de ocazie și să pornească o investigație neașteptată.

Cercetătorul a declarat pentru presă că, până atunci, „niciodată în mod conștient” nu mai fusese vizat cu un atac de tip one-click sau cu o astfel de tentativă de phishing.

„Faptul că atacul a ajuns direct în inbox-ul meu, iar eu am avut șansa să întorc situația împotriva atacatorilor și să înțeleg mai bine campania, a fost o ocazie prea bună ca să o ratez”, a spus acesta.

S-a dovedit că tentativa de atac asupra lui Ó Cearbhaill făcea, cel mai probabil, parte dintr-o campanie de hacking mult mai amplă, îndreptată împotriva unui număr mare de utilizatori Signal. Strategia hackerilor era să se dea drept Signal, să avertizeze despre presupuse probleme de securitate și să încerce să păcălească victimele pentru a le oferi acces la conturi, prin asocierea acestora cu un dispozitiv controlat de atacatori.

Aceste tehnici copiau aproape identic metodele observate într-o campanie mai largă asupra căreia au avertizat agențiile de securitate cibernetică din SUA, din Regatul Unit și serviciile de informații olandeze, care au pus atacurile pe seama spionilor guvernamentali ruși. Și Signal a emis avertismente legate de tentative de phishing ce vizează utilizatorii săi. În plus, a fost documentat faptul că hackerii ruși au reușit să compromită mai multe persoane din Germania, inclusiv politicieni de rang înalt.

Într-o serie de postări online, Ó Cearbhaill a explicat că a reușit să afle că el era doar unul dintre cei peste 13 500 de țintiți. A refuzat însă să dezvăluie în detaliu cum a investigat tentativa de hacking și întreaga campanie, pentru a nu oferi indicii atacatorilor, dar a împărtășit câteva elemente-cheie din ceea ce a descoperit.

Mai întâi, a realizat că printre celelalte ținte se aflau jurnaliști cu care colaborase anterior, precum și un coleg. În acel moment, Ó Cearbhaill deja bănuia că este vorba de un atac oportunist: hackerii ar compromite inițial câteva victime, apoi, pe baza accesului obținut, ar identifica noi ținte potențiale, datorită acelor conturi deja sparte.

El a numit acest lucru „ipoteza bulgărelui de zăpadă” și este convins că a devenit țintă tocmai pentru că se afla într-un grup de chat cu cineva care fusese deja compromis, ceea ce le-a oferit atacatorilor posibilitatea să găsească noi contacte.

Cercetătorul spune că a reușit să identifice și sistemul folosit de hackeri, numit „ApocalypseZ”. Acesta automatizează atacurile și le permite să lovească simultan un număr foarte mare de persoane, în masă, cu o intervenție umană minimă.

De asemenea, a descoperit că baza de cod și interfața operatorilor sunt în limba rusă, iar hackerii traduceau conversațiile victimelor în rusă. Aceste elemente susțin ipoteza că în spatele operațiunii se află același grup de hackeri ai guvernului rus, responsabil și de alte campanii similare.

Ó Cearbhaill a declarat că încă monitorizează campania și că a observat continuarea atacurilor, ceea ce înseamnă că numărul real de ținte este cu siguranță mult mai mare decât cel identificat de el la începutul anului.

El spune că se îndoiește că hackerii îl vor viza din nou și crede că probabil regretă că au încercat să-l atace prima dată. „I welcome future messages, especially if they have zero-days they would like to share”, a spus cercetătorul, referindu-se la vulnerabilități de securitate necunoscute producătorului, folosite adesea în atacurile cibernetice pe care el le investighează.

Ó Cearbhaill a mai subliniat că, dacă utilizatorii Signal se tem că ar putea deveni ținte pentru acest tip de atac, ar trebui să activeze funcția Registration Lock. Aceasta permite setarea unui PIN pentru cont, împiedicând astfel ca altcineva să înregistreze numărul de telefon pe un dispozitiv diferit și să preia controlul asupra contului.