Man using Mac and iPhone

Les groupes de cyberespionnage russe ciblent les utilisateurs de signaux avec des invitations de faux groupes

Lucas Morel

Les apts russes envoient les utilisateurs de faux groupes de signal invitations de chat avec des liens ou des codes QR spécifiquement conçus qui autorisent plutôt les appareils voyous à leurs comptes afin d’espionner les futures communications

Les groupes de menace persistante avancés russes (APT) lancent de plus en plus des attaques de phishing visant à inciter les utilisateurs de l’application de messagerie de signal pour donner à des appareils contrôlés par l’attaquant l’accès à leurs comptes et les communications cryptées à l’intérieur. Les attaques se masquent généralement car le chat de groupe de signaux invite, en réalité, abuser de la fonctionnalité liant l’appareil.

«La popularité du signal parmi les cibles communes de la surveillance et de l’activité d’espionnage – telles que le personnel militaire, les politiciens, les journalistes, les militants et d’autres communautés à risque – a positionné l’application de messagerie sécurisée comme une cible à grande valeur pour les adversaires cherchant à intercepter des informations sensibles qui pourrait remplir un éventail de différentes exigences de renseignement », a déclaré des chercheurs du groupe de renseignements sur les menaces de Google dans un nouveau rapport.

«Plus largement, cette menace s’étend également à d’autres applications de messagerie populaires telles que WhatsApp et Telegram, qui sont également activement ciblées par des groupes de menaces alignés par russe en utilisant des techniques similaires.»

Alors que de nombreuses attaques observées jusqu’à présent se sont principalement concentrées sur les cibles liées à l’Ukraine, les chercheurs Google s’attendent à ce que d’autres groupes de menaces adoptent des techniques similaires à l’avenir, d’autant plus que d’autres applications de messagerie sécurisées ont des fonctionnalités de liaison de dispositifs similaires. L’équipe de signal a ajouté des fonctionnalités dans les dernières versions pour aider à protéger contre de telles attaques, il est donc conseillé aux utilisateurs de mettre à jour la dernière version dès que possible.

Attack On Signal utilise un lien entre le dispositif comme une porte dérobée

Le signal est une application de messagerie open source qui utilise le cryptage de bout en bout (E2EE) pour les messages texte ainsi que les appels vocaux et vidéo. En fait, les développeurs de signaux sont considérés comme des pionniers dans l’espace E2EE, leur protocole cryptographique Signal, qui a été audité indépendamment par des chercheurs universitaires, adopté par d’autres applications au fil des ans, y compris WhatsApp de Meta, Google Allo (abandonné), Google Messages, et Skype de Microsoft (en mode Conversations privés).

Les audits de sécurité, la qualité du code et la nature open source de l’application et du protocole ont gagné signalent la confiance de nombreux chercheurs en sécurité, journalistes, militants politiques, politiciens, militaires et bien sûr des groupes criminels. Cela a fait de l’application un objectif des gouvernements oppressifs, des organismes d’application de la loi, des sociétés de surveillance commerciale et des agences de renseignement.

L’utilisation du chiffrement de bout en bout implique que les communications entre deux appareils sont chiffrées avec des clés échangées par les appareils directement, ce qui signifie que les messages sont toujours protégés de l’expéditeur vers le destinataire même s’ils passent par des serveurs centraux qui agissent comme des relais. Cela signifie qu’un serveur peut savoir que l’utilisateur A a envoyé un message à l’utilisateur B, mais pas ce que le message disait.

Cela rend certaines fonctionnalités telles que des chats de groupe ou la synchronisation des chats sur plusieurs appareils plus difficiles à réaliser dans une implémentation entièrement E2EE parce que l’appareil secondaire d’un utilisateur est techniquement une autre «fin» dans une communication cryptée multi-peer, mais les développeurs de signaux ont proposé des solutions à ces problèmes.

Les codes QR fournissent un moyen de phishing des utilisateurs

Ces fonctionnalités fonctionnent désormais en numérisant les codes QR qui contiennent les informations cryptographiques nécessaires pour échanger des clés entre différents appareils dans un groupe ou pour autoriser un nouvel appareil sur un compte. Les codes QR sont en fait des représentations de liens spéciaux que l’application de signal sait comment traiter via le gestionnaire de protocole SGNL: // URI.

Étant donné que les attaquants savent que les utilisateurs peuvent être utilisés pour scanner les codes QR ou cliquer sur des boutons pour rejoindre les chats de groupe, ils ont conçu des pages de phishing pour imiter la même expérience mais utilisent à la place des appareils Rogue au compte de la victime. Le lien de dispositif voyou offre un moyen plus facile pour les attaquants d’accéder aux messages du signal que d’essayer de compromettre à distance un appareil Android ou iOS qui nécessiterait probablement un exploit rare et coûteux au niveau de la racine.

«Un cluster d’espionnage russe présumé suivi comme UNC5792 (qui se chevauche partiellement avec l’UAC-0195 de CERT-UA) a modifié les pages légitimes de groupe, remplaçant la redirection attendue vers un groupe de signaux avec une redirection vers une URL malveillante conçue pour relier un acteur -Parmot contrôlé au compte de signal de la victime », ont déclaré les chercheurs de Google.

La page de phishing se masque comme le site Web officiel du signal avec un bouton appelé groupe join, mais le code javascript derrière le bouton redirige la fenêtre du navigateur vers un lien sgnl: // linkdevice? Uuid = (data) est le gestionnaire de protocole enregistré pour SGNL: // URIS et autorisera la liaison d’un nouvel appareil au compte.

Groupe de menaces russes visant le personnel militaire ukrainien

Un autre groupe de menaces russes que Google suit en tant que CERT UNC4221 et Ukrainian est en tant que UAC-0185 utilise un kit de phishing de signal qui imite les composants d’une application d’orientation d’artillerie appelée Kropyva qui a été développée par les forces armées ukrainiennes.

Ce groupe est connu pour cibler le personnel militaire ukrainien et a utilisé différentes tactiques, notamment des sites de phishing sur le thème de Kropyva avec des codes QR supposés pour rejoindre des groupes de signaux, des pages de phishing qui imitaient les alertes de sécurité du signal lui-même, ou en utilisant des invitations de groupe de signal envoyées par des contacts fiables qui étaient compromis. Toutes ces fausses invitations de groupe ont plutôt effectué des liens de dispositifs voyous.

« Notamment, en tant que composant central de son ciblage de signal, UNC4221 a également utilisé une charge utile JavaScript légère suivie comme PINPOINT pour collecter des informations de base utilisateur et des données de géolocalisation à l’aide de l’API de géolocalisation du navigateur », ont déclaré les chercheurs de Google. «En général, nous nous attendons à voir des messages sécurisés et des données de localisation pour figurer fréquemment comme des cibles conjointes dans les opérations futures de cette nature, en particulier dans le contexte des opérations de surveillance ciblées ou du soutien aux opérations militaires conventionnelles.»

Les chercheurs ont également noté les efforts des troupes russes pour lier les comptes de signal des appareils capturés sur le champ de bataille aux appareils contrôlés par l’APT44, ou Sandworm, une cyber équipe attribuée au service de renseignement militaire russe, le GRU. APT44 a également été observé dans le déploiement d’un script de lot Windows surnommé Wavesign conçu pour collecter et exfiltrater les messages de l’application Signal Desktop sur des ordinateurs Windows compromis.

Cibler les versions de bureau du signal

Le signal est principalement utilisé comme une application mobile et la création de compte nécessite un numéro de téléphone mobile, même si, depuis l’année dernière, les utilisateurs peuvent masquer leurs numéros de téléphone derrière des noms d’utilisateur uniques pour éviter de les partager avec de nouveaux contacts. Mais Signal a également une version de bureau pour Windows, MacOS et Linux car de nombreux utilisateurs choisissent d’utiliser leurs ordinateurs comme périphériques secondaires liés à leurs comptes.

Jusqu’à récemment, la liaison d’un ordinateur Windows ou MacOS à un compte de signal n’a pas transféré l’historique de chat vers le nouvel appareil, mais permettrait de recevoir des messages futurs sur les appareils de bureau et mobiles, créant des histoires de messages sur les deux. Cela a fait des ordinateurs de bureau une cible pour la collecte de messages de signal.

En plus du script Wavesign d’APT44, les chercheurs de Google ont noté l’utilisation par Turla d’un script PowerShell pour extraire les messages de bureau du signal. Turla est une équipe de cyberespionnage attribuée au service de sécurité fédéral russe, le FSB. Un acteur de menace lié au Bélarus a suivi en UNC1151 a également été observé à l’aide d’un utilitaire en ligne de commande appelée Robocopy pour exfiltrer les messages de signal des ordinateurs Windows.

La menace de telles attaques est encore plus grande, car Signal a récemment introduit la capacité de synchroniser l’historique du chat au cours des 45 derniers jours entre les appareils anciens et nouvellement liés.

« L’accent opérationnel sur le signal des acteurs de plusieurs menaces au cours des derniers mois constitue un avertissement important à la menace croissante de sécuriser les applications de messagerie qui sont sûrs de s’intensifier dans un avenir à court terme », ont déclaré les chercheurs de Google.

«Lorsqu’elle est placée dans un contexte plus large avec d’autres tendances du paysage des menaces, comme l’industrie croissante des logiciels espions commerciaux et la montée en puissance de variantes de logiciels malveillants mobiles à tirer parti des zones de conflit actives, il semble y avoir une demande claire et croissante de cyber-capacités offensives qui Peut être utilisé pour surveiller les communications sensibles des personnes qui comptent sur des applications de messagerie sécurisées pour protéger leur activité en ligne. »

Le rapport Google contient des indicateurs de compromis pour les campagnes observées ainsi que des recommandations pour les utilisateurs pour protéger leurs appareils. En plus d’installer des mises à jour de sécurité régulièrement et de protéger leurs appareils avec des mots de passe longs et complexes, les utilisateurs doivent régulièrement consulter la liste des appareils liés et autorisés pour leurs applications de messagerie et faire preuve de prudence lors de la numérisation des codes QR partagés sous le couvert d’invitations de groupe ou d’autres actions urgentes requises .

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Young Team of Specialists Working on Desktop Computers and Having a Conversation at a Workplace. Female and Male Software Developers Discussing a Solution for Their Artificial Intelligence Project
Les plongées de la base de données de réduction des coûts de Doge offrent des leçons vitales de la cybersécurité dans la sécurité du cloud
Le cannabis aurore de Comox découvre la protection contre le mildiou poudreux
Le cannabis aurore de Comox découvre la protection contre le mildiou poudreux
Illinois en ligne Bill Gains Gains Support
Illinois en ligne Bill Gains Gains Support