Actores de amenazas vinculados a Rusia apuntan activamente a Signal Messenger

 (cloud.google.com)
1 puntos por GN⁺ 2025-02-20 | 2 comentarios | Compartir por WhatsApp

Actores de amenazas vinculados a Rusia están llevando a cabo actividades dirigidas contra Signal Messenger

  • Google Threat Intelligence Group (GTIG) observó actividades de actores de amenazas vinculados al Estado ruso dirigidas a cuentas de Signal Messenger. Esto parece haber sido impulsado por necesidades en tiempos de guerra de acceder a comunicaciones gubernamentales y militares sensibles relacionadas con la reinvasión rusa de Ucrania. Es probable que estas tácticas y métodos se propaguen en el futuro a más actores de amenazas y regiones.

  • Signal es muy popular entre blancos habituales de vigilancia y espionaje, como militares, políticos, periodistas y activistas, por lo que se convierte en un objetivo de alto valor para adversarios que buscan interceptar información sensible. Esta amenaza también se extiende a otras apps de mensajería populares como WhatsApp y Telegram.

  • En colaboración con el equipo de Signal, las versiones más recientes de Signal fortalecieron las protecciones contra campañas de phishing similares. Se recomienda actualizar a la versión más reciente.

Campañas de phishing que abusaron de la función "dispositivos vinculados" de Signal

  • Actores vinculados a Rusia abusaron de la función "dispositivos vinculados" para comprometer cuentas de Signal. Esta función permite usar Signal en varios dispositivos al mismo tiempo. Intentan vincular la cuenta de la víctima a una instancia de Signal controlada por el actor mediante códigos QR maliciosos.

  • En operaciones remotas de phishing, se usaron códigos QR maliciosos disfrazados como recursos de Signal. En algunos casos, los códigos QR estaban incluidos en páginas de phishing que se hacían pasar por aplicaciones especiales usadas por el ejército ucraniano.

UNC5792: invitaciones a grupos de Signal modificadas

  • UNC5792 modifica la página de "invitación a grupo" para redirigirla a una URL maliciosa con el fin de comprometer cuentas de Signal. Se trata de un intento de vincular la cuenta de Signal de la víctima a un dispositivo controlado por el actor.

UNC4221: kit de phishing personalizado para Signal

  • UNC4221 apunta a cuentas de Signal usadas por militares ucranianos. Este grupo opera un kit de phishing que imita la aplicación Kropyva y se disfraza como una invitación a un grupo de Signal proveniente de un contacto de confianza.

Esfuerzos de Rusia y Bielorrusia para robar mensajes de Signal

  • Varios actores de amenazas regionales cuentan con capacidades para robar archivos de base de datos de Signal en dispositivos Android y Windows. APT44 usa un script por lotes de Windows llamado WAVESIGN para consultar periódicamente los mensajes de Signal y exfiltrarlos con Rclone.

Perspectivas e impacto

  • Que varios actores de amenazas estén apuntando a Signal es una advertencia de que las amenazas contra las aplicaciones de mensajería segura van en aumento. Estas amenazas incluyen no solo operaciones cibernéticas remotas como phishing y distribución de malware, sino también operaciones de acceso cercano capaces de obtener acceso a dispositivos desbloqueados del objetivo.

  • Las personas que usan aplicaciones de mensajería segura deben protegerse activando el bloqueo de pantalla, actualizando el sistema operativo, habilitando Google Play Protect, teniendo cuidado con los códigos QR y los recursos web, y usando autenticación de dos factores.

Lecturas relacionadas

2 comentarios

 
ndrgrd 2025-02-20

Aunque de hecho es vulnerable, da risa que Telegram, que ni siquiera cifra correctamente los chats grupales, critique a otros en temas de seguridad.
 
GN⁺ 2025-02-20
Opiniones en Hacker News

  • Los flujos de trabajo de dispositivos vinculados en apps como Signal han sido riesgosos desde hace mucho tiempo

    • Telegram mencionó este problema cuando criticó a Signal
    • La implementación de dispositivos vinculados ha sido problemática durante mucho tiempo
    • Sorprende que haya tardado tanto en aparecer el ataque en la literatura abierta
    • Que Signal restara importancia a este ataque no ayudó

  • Me di cuenta de que el cifrado E2E requiere que los usuarios construyan y verifiquen sus propios clientes

    • Todo lo que afirme el protocolo puede volverse inútil
    • Pueden surgir problemas durante el proceso de distribución en la App Store de iOS
    • Todo depende de la confianza
    • Usar Signal podría, por el contrario, convertirte en objetivo de vigilancia
    • La discusión sobre la validez matemática de los protocolos de seguridad se siente vacía

  • No se menciona claramente en el artículo, pero la primera etapa del ataque es apoderarse del smartphone de un combatiente caído

  • Si es posible vincular un dispositivo con solo escanear un código QR, eso es un problema

    • Se debe verificar manualmente la vinculación del dispositivo
    • Hay que evitar confundir el escaneo de un código de invitación a un grupo con la vinculación de un dispositivo

  • Se proporcionaron algunos dominios, pero no todos están en uso

    • No se debe confiar en países en guerra
    • Cada país tiene su propia agenda

  • Hay muchas voces que afirman que Signal fue comprometido

    • Signal, como empresa a escala web, está intentando defender los derechos humanos
    • La dignidad individual es importante
    • No es una conversación sencilla

  • La buena noticia es que fueron objetivo porque el blanco es efectivo

  • "Amenaza vinculada a Rusia"... entonces, ¿Estados Unidos?

  • En el menú de configuración se pueden revisar dispositivos vinculados inesperados