Mit Russland verbundene Bedrohungsakteure nehmen den Signal Messenger gezielt ins Visier

 (cloud.google.com)
1 Punkte von GN⁺ 2025-02-20 | 2 Kommentare | Auf WhatsApp teilen

Mit Russland verbundene Bedrohungsakteure zielen auf den Signal Messenger

  • Die Google Threat Intelligence Group (GTIG) hat Aktivitäten beobachtet, bei denen mit dem russischen Staat verbundene Bedrohungsakteure auf Signal-Messenger-Konten abzielen. Dies scheint durch kriegsbedingte Anforderungen ausgelöst worden zu sein, die auf den Zugriff auf sensible Regierungs- und Militärkommunikation im Zusammenhang mit Russlands erneuter Invasion der Ukraine abzielen. Diese Taktiken und Methoden könnten sich künftig auf weitere Bedrohungsakteure und Regionen ausbreiten.

  • Signal ist bei typischen Zielen von Überwachung und Spionage wie Soldaten, Politikern, Journalisten und Aktivisten sehr beliebt und dadurch für Angreifer, die sensible Informationen abfangen wollen, ein besonders wertvolles Ziel. Diese Bedrohung weitet sich auch auf andere populäre Messenger-Apps wie WhatsApp und Telegram aus.

  • In Zusammenarbeit mit dem Signal-Team wurden in den aktuellen Signal-Versionen Schutzmechanismen gegen ähnliche Phishing-Kampagnen verstärkt. Es wird empfohlen, auf die neueste Version zu aktualisieren.

Phishing-Kampagnen mit Missbrauch der Signal-Funktion „Verknüpfte Geräte“

  • Mit Russland verbundene Akteure missbrauchen die Funktion „Verknüpfte Geräte“, um Signal-Konten zu kompromittieren. Diese Funktion ermöglicht die gleichzeitige Nutzung von Signal auf mehreren Geräten. Über bösartige QR-Codes versuchen sie, das Konto des Opfers mit einer von den Akteuren kontrollierten Signal-Instanz zu verknüpfen.

  • Bei Remote-Phishing-Operationen werden bösartige QR-Codes eingesetzt, die als Signal-Ressourcen getarnt sind. Teilweise enthalten Phishing-Seiten QR-Codes und geben sich als spezielle Anwendungen aus, die vom ukrainischen Militär genutzt werden.

UNC5792: Manipulierte Signal-Gruppeneinladungen

  • UNC5792 manipuliert die Seite für „Gruppeneinladungen“, um zur Kompromittierung von Signal-Konten auf bösartige URLs umzuleiten. Ziel ist es, das Signal-Konto des Opfers mit einem von den Akteuren kontrollierten Gerät zu verknüpfen.

UNC4221: Maßgeschneidertes Signal-Phishing-Kit

  • UNC4221 nimmt Signal-Konten ukrainischer Soldaten ins Visier. Die Gruppe betreibt ein Phishing-Kit, das die Anwendung Kropyva nachahmt und sich als Signal-Gruppeneinladung von einem vertrauenswürdigen Kontakt ausgibt.

Bemühungen Russlands und Belarus’ zum Abgreifen von Signal-Nachrichten

  • Mehrere regionale Bedrohungsakteure verfügen über Fähigkeiten, um Signal-Datenbankdateien von Android- und Windows-Geräten zu stehlen. APT44 verwendet ein Windows-Batch-Skript namens WAVESIGN, um Signal-Nachrichten regelmäßig abzufragen und sie mit Rclone zu exfiltrieren.

Ausblick und Auswirkungen

  • Dass mehrere Bedrohungsakteure Signal ins Visier nehmen, ist ein Warnsignal für die zunehmende Bedrohung von sicheren Messaging-Anwendungen. Diese Bedrohungen umfassen nicht nur Remote-Cyberoperationen wie Phishing und die Verbreitung von Malware, sondern auch Operationen mit physischer Nähe, bei denen Zugriff auf entsperrte Geräte der Zielpersonen erlangt werden kann.

  • Personen, die sichere Messaging-Anwendungen nutzen, sollten sich schützen, indem sie eine Bildschirmsperre aktivieren, ihr Betriebssystem aktualisieren, Google Play Protect einschalten, bei QR-Codes und Web-Ressourcen vorsichtig sind und Zwei-Faktor-Authentifizierung verwenden.

Verwandte Beiträge

2 Kommentare

 
ndrgrd 2025-02-20

Zwar gibt es tatsächlich Schwachstellen, aber es ist schon lächerlich, dass ausgerechnet Telegram, das nicht einmal Gruppenchats richtig verschlüsselt, ausgerechnet in Sachen Sicherheit Kritik übt.
 
GN⁺ 2025-02-20
Hacker-News-Kommentare

  • Der Workflow für verknüpfte Geräte in Apps wie Signal war schon lange riskant

    • Telegram erwähnte dieses Problem, als es Signal kritisierte
    • Die Implementierung verknüpfter Geräte war lange problematisch
    • Es ist überraschend, dass es so lange dauerte, bis der Angriff in der öffentlichen Literatur auftauchte
    • Es hat nicht geholfen, dass Signal diesen Angriff heruntergespielt hat

  • Ich habe erkannt, dass E2E-Verschlüsselung bedeutet, dass Nutzer den Client selbst bauen und verifizieren müssen

    • Alles, was das Protokoll behauptet, kann wertlos sein
    • Beim Ausliefern über den iOS-Store können Probleme auftreten
    • Alles hängt von Vertrauen ab
    • Die Nutzung von Signal kann einen vielmehr zum Ziel von Überwachung machen
    • Diskussionen über die mathematische Gültigkeit von Sicherheitsprotokollen fühlen sich bedeutungslos an

  • Im Artikel wird es nicht klar erwähnt, aber der erste Schritt des Angriffs besteht darin, das Smartphone eines Gefallenen an sich zu nehmen

  • Wenn das Verknüpfen eines Geräts allein durch das Scannen eines QR-Codes möglich ist, ist das ein Problem

    • Das Verknüpfen von Geräten sollte man manuell bestätigen müssen
    • Man sollte das Scannen eines Gruppeneinladungscodes nicht mit dem Verknüpfen eines Geräts verwechseln

  • Einige Domains wurden angegeben, aber nicht alle werden tatsächlich verwendet

    • Man sollte einem Land im Krieg nicht vertrauen
    • Jedes Land verfolgt seine eigene Agenda

  • Es gibt viele Stimmen, die behaupten, Signal sei kompromittiert

    • Signal versucht als Web-Scale-Unternehmen, die Menschenrechte zu schützen
    • Die Würde des Einzelnen ist wichtig
    • Es geht nicht um ein einfaches Gespräch

  • Die gute Nachricht ist, dass das Ziel ins Visier genommen wurde, weil es effektiv ist

  • „Mit Russland verbundene Bedrohung“ ... also die USA?

  • Im Einstellungsmenü kann man unerwartete verknüpfte Geräte überprüfen