Rusya bağlantılı tehdit aktörleri Signal Messenger'ı aktif biçimde hedef alıyor

 (cloud.google.com)
1 puan yazan GN⁺ 2025-02-20 | 2 yorum | WhatsApp'ta paylaş

Rusya bağlantılı tehdit aktörleri Signal Messenger'ı hedef alan faaliyetler yürütüyor

  • Google Tehdit İstihbaratı Grubu (GTIG), Rus devlet bağlantılı tehdit aktörlerinin Signal Messenger hesaplarını hedef alan faaliyetler gözlemledi. Bunun, Rusya'nın Ukrayna'yı yeniden işgaliyle bağlantılı hassas devlet ve askeri iletişimlere erişmeye yönelik savaş zamanı ihtiyaçları tarafından tetiklendiği görülüyor. Bu taktik ve yöntemlerin ileride daha fazla tehdit aktörüne ve bölgeye yayılması muhtemel.

  • Signal; askerler, siyasetçiler, gazeteciler ve aktivistler gibi gözetim ve casusluk faaliyetlerinin yaygın hedefleri arasında yüksek popülerliğe sahip olduğundan, hassas bilgileri ele geçirmek isteyen hasımlar için yüksek değerli bir hedef haline geliyor. Bu tehdit, WhatsApp ve Telegram gibi diğer popüler mesajlaşma uygulamalarına da uzanıyor.

  • Signal ekibiyle iş birliği sayesinde, Signal'ın en güncel sürümünde benzer phishing kampanyalarına karşı koruma güçlendirildi. En son sürüme güncelleme yapılması öneriliyor.

Signal'ın "bağlı cihazlar" özelliğini kötüye kullanan phishing kampanyaları

  • Rusya bağlantılı aktörler, Signal hesaplarını ele geçirmek için "bağlı cihazlar" özelliğini kötüye kullanıyor. Bu özellik, Signal'ın aynı anda birden fazla cihazda kullanılmasını sağlıyor. Kötü amaçlı QR kodları aracılığıyla kurbanın hesabını aktörün kontrol ettiği bir Signal örneğine bağlamaya çalışıyorlar.

  • Uzaktan phishing operasyonlarında, kötü amaçlı QR kodları Signal kaynakları gibi gösterilerek kullanılıyor. QR kodları bazen Ukrayna ordusunda kullanılan özel uygulamalar gibi görünen phishing sayfalarına da yerleştiriliyor.

UNC5792: Değiştirilmiş Signal grup daveti

  • UNC5792, Signal hesaplarını ele geçirmek için "grup daveti" sayfasını değiştirerek kötü amaçlı bir URL'ye yönlendirme yapıyor. Bu, kurbanın Signal hesabını aktörün kontrol ettiği bir cihaza bağlama girişimi.

UNC4221: Özel Signal phishing kiti

  • UNC4221, Ukraynalı askerlerin kullandığı Signal hesaplarını hedef alıyor. Bu grup, Kropyva uygulamasını taklit eden bir phishing kiti işletiyor ve bunu güvenilir bir kişiden gelen Signal grup daveti gibi gösteriyor.

Rusya ve Belarus'un Signal mesajlarını ele geçirme çabaları

  • Birden fazla bölgesel tehdit aktörü, Android ve Windows cihazlardaki Signal veritabanı dosyalarını çalma yetenekleri kullanıyor. APT44, Signal mesajlarını periyodik olarak sorgulamak ve bunları Rclone kullanarak dışarı aktarmak için WAVESIGN adlı bir Windows Batch betiği kullanıyor.

Görünüm ve etki

  • Birden fazla tehdit aktörünün Signal'ı hedef alması, güvenli mesajlaşma uygulamalarına yönelik tehdidin arttığına işaret ediyor. Bu tehditler; phishing ve kötü amaçlı yazılım dağıtımı gibi uzaktan siber operasyonların yanı sıra, hedefin kilidi açık cihazına erişim sağlanabilen yakın erişim operasyonlarını da kapsıyor.

  • Güvenli mesajlaşma uygulamaları kullanan kişiler; ekran kilidini etkinleştirerek, işletim sistemlerini güncelleyerek, Google Play Protect'i açarak, QR kodlarına ve web kaynaklarına karşı dikkatli olarak ve iki faktörlü kimlik doğrulama kullanarak kendilerini korumalı.

İlgili okumalar

2 yorum

 
ndrgrd 2025-02-20

Zayıf olduğu doğru ama grup sohbetlerini bile düzgün şekilde şifrelemeyen Telegram'ın güvenlik konusunda eleştiri yapması başlı başına komik.
 
GN⁺ 2025-02-20
Hacker News görüşleri

  • Signal gibi uygulamalardaki bağlı cihaz iş akışı uzun zamandır riskliydi

    • Telegram, Signal'i eleştirdiğinde bu soruna değinmişti
    • Bağlı cihaz uygulaması uzun zamandır sorunluydu
    • Saldırının açık literatürde ortaya çıkmasının bu kadar uzun sürmesi şaşırtıcı
    • Signal'in bu saldırıyı küçümsemesi yardımcı olmadı

  • Uçtan uca şifrelemenin, kullanıcıların istemciyi bizzat derleyip doğrulamasını gerektirdiği fark edildi

    • Protokolün iddia ettiği her şey boşa çıkabilir
    • iOS Store'a dağıtım sürecinde sorun çıkabilir
    • Her şey güvene dayanıyor
    • Signal kullanmak, tersine gözetim hedefi olmanıza yol açabilir
    • Güvenlik protokollerinin matematiksel sağlamlığına dair tartışmalar anlamsız geliyor

  • Haberde açıkça belirtilmese de saldırının ilk aşaması, ölen askerin akıllı telefonunu ele geçirmek

  • Sadece QR kodu tarayarak cihaz bağlanabiliyorsa bu bir sorun

    • Cihaz bağlantısı manuel olarak doğrulanmalı
    • Grup davet kodu taramasıyla cihaz bağlamayı karıştırmamaya dikkat etmek gerek

  • Bazı alan adları verilmişti ama hepsi aktif kullanımda değil

    • Savaş halindeki devletlere güvenmemek gerek
    • Her ülkenin kendi gündemi var

  • Signal'in tehlikeye girdiğini öne süren çok ses var

    • Signal, insan haklarını korumaya çalışan web ölçekli bir şirket
    • Bireyin onuru önemli
    • Bu basit bir sohbet değil

  • İyi haber, hedefin etkili olduğu için hedef alınmış olması

  • "Rusya bağlantılı tehdit"... O halde ABD mi?

  • Ayarlar menüsünden beklenmedik bağlı cihazları kontrol edebilirsiniz