Πρόκειται για προηγμένες τεχνικές "quishing", δηλαδή phishing με χρήση κωδικών QR που έχουν σαρωθεί από smartphone, που ανακάλυψαν οι ομάδες κυβερνοασφάλειας της Google. Στοχεύτηκαν στην ακεραιότητα των επικοινωνιών των στρατιωτών στην Ουκρανία χρησιμοποιώντας το Signal , μια δημοφιλή υπηρεσία ασφαλών μηνυμάτων που προωθείται τακτικά από τους υπερασπιστές του απορρήτου στο διαδίκτυο.

Σε μια αναφορά που δημοσιεύτηκε την Τετάρτη 19 Φεβρουαρίου, η Google Threat Intelligence Group (η οποία συγκεντρώνει διάφορες υπηρεσίες προστασίας στον κυβερνοχώρο και έρευνας που διαχειρίζεται ο αμερικανικός γίγαντας, συμπεριλαμβανομένων εκείνων της Mandiant ) περιγράφει πώς ομάδες Ρώσων κατασκόπων στον κυβερνοχώρο κατάφεραν να δημιουργήσουν και να εκμεταλλευτούν αυτές τις τεχνικές hacking.

Κωδικοί QR και απομιμήσεις εφαρμογών

Οι λειτουργίες «quishing» που αποκαλύφθηκαν βασίζονται στην εκτροπή των μεθόδων σύνδεσης που επιτρέπουν σε έναν χρήστη του Signal να συνδέσει την εφαρμογή του smartphone με αυτή μιας άλλης συσκευής (υπολογιστή, tablet, κ.λπ.). Ρωσικές ομάδες, συμπεριλαμβανομένης της APT44, της ελίτ ομάδας χάκερ, πιο γνωστή ως Sandworm, κατάφεραν να διανείμουν ψεύτικους κωδικούς επαλήθευσης QR που κανονικά θα έπρεπε να επιτρέπουν αυτή τη σύνδεση. Ο τελευταίος ανακατεύθυνε τα θύματα σε ένα ψεύτικο παράδειγμα Signal, που στην πραγματικότητα ελέγχεται από Ρώσους χάκερ.

"Εάν είναι επιτυχείς, τα μελλοντικά μηνύματα που λαμβάνονται από το θύμα παραδίδονται επίσης ταυτόχρονα στον εισβολέα, επιτρέποντάς του μόνιμη πρόσβαση για την παρακολούθηση ασφαλών συνομιλιών", περιγράφει η αναφορά που δημοσιεύτηκε από την Google. Αρκετά για τη συλλογή δυνητικά κρίσιμων πληροφοριών, ή απλώς πλαισίου, σχετικά με τις στρατιωτικές επιχειρήσεις στην Ουκρανία.

Για να επιτύχουν τους στόχους τους και να διαδώσουν αυτούς τους παραπλανητικούς κωδικούς QR, μια από τις Ρωσικές ομάδες χάκερ που εντόπισε η Google (UNC5792) διέδωσε κυρίως ψεύτικες προσκλήσεις ομάδας στο Signal. Ένα άλλο, το UNC4221, κυκλοφόρησε μια απομίμηση της Kropyva, μιας εφαρμογής χαρτογράφησης που χρησιμοποιείται από τον ουκρανικό στρατό: η ψεύτικη έκδοση της εφαρμογής ξεγέλασε τους στρατιώτες να συνδέσουν τους λογαριασμούς τους στο Signal με το Kropyva, επιτρέποντας σε Ρώσους χάκερ να διεισδύσουν στην ασφαλή υπηρεσία ανταλλαγής μηνυμάτων.

Συνιστάται ενημέρωση

Σε ένα σχόλιο που παρέχεται στο περιοδικό Forbes , ο Viktor Zhora, πρώην ανώτερος αξιωματούχος κυβερνοασφάλειας για το ουκρανικό κράτος, εξηγεί ότι το Signal χρησιμοποιείται ευρέως στην Ουκρανία από τη ρωσική εισβολή το 2022 και τον πόλεμο που ακολούθησε. Κάτι που εξηγεί, σύμφωνα με τον ίδιο, γιατί οι επιθέσεις και οι απόπειρες κατασκοπείας που βασίζονται στην πειρατεία κωδικών QR έχουν γίνει συνηθισμένες στην Ουκρανία. Στο κείμενό της, η Google διευκρινίζει, ωστόσο, ότι άλλες εφαρμογές ανταλλαγής μηνυμάτων, ιδίως το WhatsApp και το Telegram, πιθανότατα έχουν γίνει στόχος παρόμοιων προσπαθειών από Ρώσους κατασκόπους.

Πριν δημοσιεύσει την έκθεσή της, η Google προειδοποίησε απευθείας τις ομάδες του Signal για αυτές τις τεχνικές κατασκοπείας. Σε μια δήλωση στο εμπορικό περιοδικό Wired , οι τελευταίοι λένε ότι είναι «πολύ ευγνώμονες» στην αμερικανική εταιρεία που εντόπισε και βοήθησε στην αντιμετώπιση αυτών των απειλών.

Η τελευταία ενημέρωση του Signal σε iOS και Android , που κυκλοφόρησε στις 18 Φεβρουαρίου, περιλαμβάνει νέες προστασίες για την αποτροπή του τύπου των επιθέσεων που αποκάλυψε η Google, συμπεριλαμβανομένων πρόσθετων βημάτων επαλήθευσης κατά τη σύνδεση ενός λογαριασμού Signal σε μια νέα συσκευή. Οποιοσδήποτε χρησιμοποιεί το Signal για να εξασφαλίσει τις προσωπικές ή επαγγελματικές του επικοινωνίες ενθαρρύνεται να το εγκαταστήσει.