Un recente rapporto del Google Threat Intelligence Group (GTIG) evidenzia un aumento dell’attività degli attori delle minacce allineate allo stato russo che mirano contro account dell’app di messaggistica Signal.
Questa campagna, probabilmente guidata dalle richieste di intelligence in tempo di guerra relative al conflitto in Ucraina, rivela tecniche sofisticate volte a intercettare comunicazioni sensibili.
Questa analisi approfondisce gli aspetti tecnici di questi attacchi, il loro potenziale impatto e le mitigazioni raccomandate.
Indice degli argomenti
Abuso della funzione “Dispositivi collegati” di Signal
La tattica di base osservata prevede lo sfruttamento delle legittime funzionalità dei “Dispositivi collegati” di Signal.
Gli aggressori usano codici QR dannosi per indurre gli utenti a collegare i propri account alle istanze di Signal controllate dagli attaccanti. Ciò garantisce l’accesso avversario in tempo reale ai messaggi della vittima senza richiedere una compromissione completa del dispositivo.
I dettagli dell’attacco
- Vettori di phishing: i codici QR dannosi sono spesso mascherati da risorse del segnale legittime:
- inviti di gruppo falsi;
- avvisi di sicurezza;
- istruzioni di accoppiamento del dispositivo che imitano il sito Web ufficiale di Signal.
- Phishing su misura: in attacchi più mirati, i codici QR sono incorporati nelle pagine di phishing che impersonano le applicazioni utilizzate dall’esercito ucraino (ad esempio Kropyva).
- Operazioni a stretto contatto: APT44 (Blizzard Sandworm/Seashell) è stato appurato fare uso dei codici QR dannosi su dispositivi catturati sul campo di battaglia, collegandoli all’infrastruttura controllata dalla Russia.
- UNC5792: questo gruppo modifica le legittime pagine di “Group Invite”, sostituendo il reindirizzamento standard con un URL dannoso (
sgnl://linkdevice?uuid=...) che collega il dispositivo della vittima a quello degli attaccanti. - UNC4221: questo attore impiega un kit di phishing del segnale sviluppato personalizzato, imitando i componenti dell’applicazione Kropyva. Questo include:
- Siti di phishing che reindirizzano a false istruzioni di legame del dispositivo.
- Codici QR dannosi incorporati all’interno delle pagine di phishing a tema Kropyva.
- Precedenti campagne che utilizzano avvisi di sicurezza del segnale falso.
- Pinpoint Payload: UNC4221 utilizza un payload JavaScript leggero (Pinpoint) per raccogliere informazioni sull’utente e dati di geolocalizzazione tramite l’API di geolocalizzazione del browser.
Tecniche di esfiltrazione di dati
Oltre all’approccio dei “dispositivi collegati”, gli attori delle minacce impiegano anche tecniche per rubare direttamente i file database di Signal da dispositivi compromessi.
Tecniche già consolidate da gruppi noti:
- APT44 (sandworm): utilizza ondate, uno script batch di Windows, per estrarre recenti messaggi di Signal dal database ed esfiltrarli usando RCLone.
- Infamous Chisel (Sandworm): questo malware Android cerca in modo ricorsivo estensioni di file specifiche, incluso il database locale di Signal, per l’esfiltrazione.
- Turla (FSB): utilizza uno script PowerShell negli scenari post-compromissione per archiviare i messaggi desktop di Signal e prepararli per l’esfiltrazione.
- UNC1151 (legato alla bielorussia): impiega Robocopy per copiare le directory dei file desktop di Signal contenenti messaggi e allegati per l’esfiltrazione successiva.
Implicazioni e mitigazione
La crescente attenzione su Signal e altre app di messaggistica sicure evidenzia una tendenza crescente nelle capacità informatiche offensive volte a monitorare le comunicazioni sensibili.
Ciò rappresenta una minaccia significativa per le persone che si basano su queste piattaforme per una comunicazione sicura.
Alcuni accorgimenti
- Strumento di sicurezza del dispositivo: implementare le password di blocco schermo forti (alfanumerico) su tutti i dispositivi mobili.
- Aggiornamenti del software: mantenere i sistemi operativi e Signal (così come anche le altre app di messaggistica) aggiornate alle versioni più recenti.
- Google Play Protect: assicurarsi che Google Play Protect sia abilitato sui dispositivi Android.
- Audit regolari: dispositivi collegati regolarmente audit nelle impostazioni di Signal per voci non autorizzate.
- Codice QR ATTENZIONE: esercitare estrema cautela quando interagisci con i codici QR, in particolare quelli ricevuti tramite comunicazioni non richieste.
- Autenticazione a due fattori: abilitare l’autenticazione a due fattori (impronta digitale, riconoscimento facciale, chiave di sicurezza o codice una tantum) per l’accesso degli account e il collegamento del dispositivo.
- Modalità di blocco (iOS): gli utenti di iPhone interessati alla sorveglianza mirata dovrebbero prendere in considerazione l’abilitazione della modalità di blocco.
Il rapporto GTIG sottolinea il panorama delle minacce in evoluzione che circonda applicazioni di messaggistica sicure.
Le tecniche impiegate dagli attori allineati in Russia dimostrano una chiara intenzione di compromettere il segnale e piattaforme simili.
