Aktéri hrozieb napojení na ruské spravodajské služby vedú phishingové kampane s cieľom kompromitovať komerčné komunikačné aplikácie (CMA), ako sú WhatsApp a Signal, aby prevzali kontrolu nad účtami patriacimi jednotlivcom s vysokou spravodajskou hodnotou, uviedli v piatok americká Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) a Federálny úrad pre vyšetrovanie (FBI).
„Kampaň sa zameriava na jednotlivcov s vysokou spravodajskou hodnotou, vrátane súčasných a bývalých predstaviteľov vlády USA, vojenského personálu, politických osobností a novinárov,“ uviedol riaditeľ FBI Kash Patel v príspevku na X. „Globálne toto úsilie viedlo k neoprávnenému prístupu k tisícom individuálnych účtov. Po získaní prístupu môžu aktéri zobrazovať správy a zoznamy kontaktov, posielať správy v mene obete a vykonávať ďalší phishing z dôveryhodnej identity.“
Stojí za zmienku, že útoky sú navrhnuté tak, aby sa dostali do CMA účtov obetí prostredníctvom phishingu a nevyužívajú žiadnu bezpečnostnú zraniteľnosť alebo slabinu na prelomenie ochrany šifrovania platforiem. Zahŕňajú zasielanie správ navrhnutých tak, aby vytvorili falošný pocit naliehavosti tvrdením, že bola zistená podozrivá aktivita účtu alebo pokusy o prihlásenie z neznámeho zariadenia alebo lokality.
Hoci agentúry nepripísali aktivitu konkrétnemu aktérovi hrozby, predchádzajúce správy od spoločností Microsoft a Google Threat Intelligence Group prepojili takéto kampane s viacerými pro-rusky orientovanými klastrami hrozieb sledovanými ako Star Blizzard, UNC5792 (známy aj ako UAC-0195) a UNC4221 (známy aj ako UAC-0185).
V podobnom upozornení Centrum koordinácie kybernetických kríz (C4), ktoré je súčasťou Národnej agentúry pre kybernetickú bezpečnosť Francúzska (ANSSI), varovalo pred nárastom útočných kampaní zameraných na účty okamžitých správ spojené s vládnymi predstaviteľmi, novinármi a podnikateľskými lídrami.
„Tieto útoky – ak sú úspešné – môžu umožniť škodlivým aktérom získať prístup k histórii konverzácií, alebo dokonca prevziať kontrolu nad účtami správ obetí a posielať správy pri vydávaní sa za nich,“ uviedlo C4.
Konečným cieľom kampane je umožniť aktérom hrozieb získať neoprávnený prístup k účtom obetí, čo im umožní zobrazovať správy a zoznamy kontaktov, posielať správy v ich mene a dokonca vykonávať sekundárny phishing proti ďalším cieľom zneužitím dôveryhodných vzťahov.
Ako nedávno upozornili kybernetické agentúry z Nemecka a Holandska, útok zahŕňa, že sa útočník vydáva za „Signal Support“ a oslovuje ciele s výzvou, aby klikli na odkaz (alebo alternatívne naskenovali QR kód) alebo poskytli PIN alebo verifikačný kód. V oboch prípadoch schéma sociálneho inžinierstva umožňuje aktérom hrozieb získať prístup k CMA účtu obete.
Kampaň má však dva rôzne výsledky pre obeť v závislosti od použitej metódy :
Ak sa obeť rozhodne poskytnúť PIN alebo verifikačný kód aktérovi hrozby, stratí prístup k svojmu účtu, keďže útočník ho použil na obnovenie účtu na svojej strane. Hoci aktér hrozby nemôže získať prístup k minulým správam, metóda môže byť použitá na monitorovanie nových správ a posielanie správ iným osobám vydávajúc sa za obeť.
Ak obeť klikne na odkaz alebo naskenuje QR kód, zariadenie pod kontrolou aktéra hrozby sa prepojí s účtom obete, čo mu umožní pristupovať ku všetkým správam, vrátane tých odoslaných v minulosti. V tomto scenári obeť naďalej má prístup k CMA účtu, pokiaľ nie je explicitne odstránená v nastaveniach aplikácie.
Na lepšiu ochranu pred hrozbou sa používateľom odporúča nikdy nezdieľať svoj SMS kód alebo verifikačný PIN s nikým, byť opatrní pri prijímaní neočakávaných správ od neznámych kontaktov, kontrolovať odkazy pred kliknutím na ne a pravidelne kontrolovať prepojené zariadenia a odstrániť tie, ktoré sa javia ako podozrivé.
„Tieto útoky, ako všetok phishing, sa spoliehajú na sociálne inžinierstvo. Útočníci sa vydávajú za dôveryhodné kontakty alebo služby (napríklad neexistujúceho ‚Signal Support Bot‘), aby oklamali obete a prinútili ich odovzdať prihlasovacie údaje alebo iné informácie,“ uviedol Signal v príspevku na X začiatkom tohto mesiaca.
„Aby ste tomu predišli, pamätajte, že váš SMS verifikačný kód pre Signal je potrebný iba vtedy, keď sa prvýkrát registrujete do aplikácie Signal. Chceme tiež zdôrazniť, že podpora Signal vás nikdy nebude kontaktovať prostredníctvom správ v aplikácii, SMS alebo sociálnych médií s cieľom požiadať o váš verifikačný kód alebo PIN. Ak vás niekto požiada o akýkoľvek kód súvisiaci so Signalom, ide o podvod.“