Orosz hackerek hamis QR-kódokkal lopják az ukrán katonák üzeneteit

Az orosz kibertámadások már több mint egy évtizede használják Ukrajnát tesztlaboratóriumként a legújabb hackelési módszerek kipróbálására. A Google most egy újabb, oroszok által alkalmazott kémkedési technikára hívja fel a figyelmet, amely a Signal titkosított üzenetküldő platformot célozza. A módszer azonban nemcsak az ukrán katonák, hanem a világ bármely Signal-felhasználójának adatait veszélyeztetheti.

A Google fenyegetésfigyelő csapata szerint több, Oroszország érdekeit szolgáló hackercsoport – amelyeket a cég UNC5792 és UNC4221 néven azonosított – a Signal egy funkcióját használja ki, amely lehetővé teszi, hogy a felhasználók QR-kóddal csatlakozzanak egy csoporthoz. A támadók hamis meghívókat küldenek, amelyek valójában olyan QR-kódokat rejtenek, amelyek egy háttérben futó JavaScript parancs segítségével összekapcsolják az áldozat eszközét egy másik eszközzel. Ennek eredményeként a hackerek teljes hozzáférést kapnak az áldozat összes üzenetéhez.

Dan Black, a Google szakértője szerint a megtévesztő technika pontosan úgy néz ki, mint egy valódi Signal csoportmeghívó, de amikor a felhasználó beolvassa, a készüléke valójában egy idegen eszközhöz kapcsolódik, amely ettől kezdve minden üzenetet megkap.

Korábban figyelmeztettek
A Google két hónappal ezelőtt figyelmeztette a Signal Foundation-t erre a veszélyre, és a Signal nemrég bevezetett egy új biztonsági frissítést. Az alkalmazás most már figyelmezteti a felhasználókat, amikor új eszközt kapcsolnak a fiókjukhoz, és néhány órával később újra rákérdez, hogy biztosan engedélyezik-e az üzenetek megosztását. Ezenkívül mostantól kötelező valamilyen hitelesítési mód – például jelkód, FaceID vagy TouchID – használata az új eszközök hozzáadásához.

Josh Lund, a Signal vezető technológusa szerint a vállalat már dolgozott ezen a védelmi mechanizmuson, de a Google jelentése rávilágított a probléma sürgősségére. „Hálásak vagyunk a Google csapatának, hogy segítettek ellenállóbbá tenni a Signalt az ilyen típusú szociális manipulációs támadásokkal szemben”, mondta Lund.

Fontos kiemelni, hogy ez a támadási módszer nem azt jelenti, hogy a Signal titkosítása feltörhető lenne. A hackerek nem az üzenetek titkosítását törik fel, hanem egy meglévő funkciót használnak ki a felhasználók megtévesztésére. A módszer lényege, hogy a QR-kódos meghívók és az eszközök összekapcsolásának lehetőségét keverik össze úgy, hogy a felhasználók ne vegyék észre a trükköt.

Egyéb rendszerek is érintettek
A Google szerint Oroszország hasonló módszereket alkalmazott más üzenetküldő alkalmazások, például a WhatsApp és a Telegram ellen is. Az orosz katonai hackerek különösen a Signalra koncentrálnak, mivel az ukrán hadseregben széles körben használják taktikai kommunikációra. Az egyik hackercsoport például az ukrán tüzérségi irányító alkalmazás, a Kropyva meghívóinak álcázta a hamis QR-kódokat. Más esetekben a támadók a felhasználók ismerőseinek üzeneteit imitálták, vagy biztonsági riasztásként tüntették fel a csaló QR-kódokat.

A Google jelentése arra figyelmeztet, hogy bár ez a technika jelenleg főként Ukrajnában terjed, nem kizárólag katonai célokra használják. Disszidensek, aktivisták és más célpontok is áldozatul eshetnek hasonló támadásoknak világszerte. 2023 óta az orosz hackerek, köztük a GRU katonai hírszerzéshez köthető Sandworm, a megszállt területeken elfoglalt eszközökről is gyűjtöttek információkat a Signal eszközkapcsolási funkciójának kihasználásával. A Turla nevű hackercsoport pedig a feltört PC-ken keresztül figyelte a Signal-üzeneteket.

Dan Black szerint a Google szándékosan várt az oroszok módszereinek részletes ismertetésével addig, amíg a Signal ki nem fejlesztette a megfelelő védelmet. Figyelmeztetése szerint azonban a technika alkalmazása nem fog megállni Ukrajnában, hiszen az elmúlt évek eseményei azt mutatják, hogy az orosz hackerek által használt módszerek idővel szélesebb körben is megjelennek.

Forrás: itbusiness