Los grupos de piratería respaldados por Rusia han desarrollado técnicas para comprometer los servicios de mensajería cifrados, incluidos Signal, WhatsApp y Telegram, colocando periodistas, políticos y activistas de interés para el servicio de inteligencia ruso con riesgo potencial.
El Grupo de Inteligencia de Amenazos de Google reveló hoy que los piratas informáticos respaldados por Rusia habían intensificado los ataques contra las cuentas de mensajería de señalización para acceder a las comunicaciones del gobierno y militares sensibles relacionados con la guerra en Ucrania.
Los analistas predicen que es solo cuestión de tiempo antes de que Rusia comience a implementar técnicas de piratería contra usuarios de señales no militares y usuarios de otros servicios de mensajería cifrados, incluidos WhatsApp y Telegram.
Dan Black, gerente de análisis de ciber espionaje en la División Mandiant de Google Cloud, dijo que estaría “absolutamente conmocionado” si no viera ataques contra la expansión de la señal más allá de la guerra en Ucrania y a otras plataformas de mensajería cifradas.
Dijo que Rusia era frecuentemente un “primer motor” en los ataques cibernéticos, y que solo sería cuestión de tiempo antes de que otros países, como Irán, China y Corea del Norte, estuvieran usando hazañas para atacar los mensajes cifrados de sujetos de interés de inteligencia .
La advertencia sigue a las revelaciones de que la inteligencia rusa creó un sitio web de parodia para el Foro Económico Mundial de Davos en enero de 2025 para intentar subrepticiamente obtener acceso a las cuentas de WhatsApp utilizadas por funcionarios del gobierno ucraniano, diplomáticos y un ex periodista de investigación en Bellingcat.
Dispositivos vinculados dirigidos
Los piratas informáticos respaldados por Rusia están intentando comprometer la capacidad de “dispositivos vinculados” de Signal, que permite a los usuarios de Signal vincular su cuenta de mensajería a múltiples dispositivos, incluidos teléfonos y computadoras portátiles, utilizando un código de respuesta rápida (QR).
Los analistas de Google amenazas informan que los actores de amenaza vinculados a Rusia han desarrollado códigos QR maliciosos que, cuando escanean, le darán acceso al actor de amenaza a los mensajes de la víctima sin tener que comprometer el teléfono o computadora de la víctima.
En un caso, según Black, una cuenta de señal comprometida llevó a Rusia a lanzar una huelga de artillería contra una brigada del ejército ucraniano, lo que resultó en una serie de víctimas.
Se han observado que los grupos respaldados por Rusia disfrazan los códigos maliciosos como invitaciones a las discusiones de grupos de señales o como instrucciones legítimas de emparejamiento de dispositivos del sitio web de la señal.
En algunos ataques de phishing de lanza específicos, los piratas informáticos vinculados a Rusia también han integrado códigos de QR maliciosos en sitios web de phishing diseñados para imitar aplicaciones especializadas utilizadas por las víctimas del ataque.
Señal confirmada por Rusia encontrada en los teléfonos de Battlefield
El grupo de lombrices de arena vinculado a Rusia, también conocido como APT44, que está vinculado al personal general de las fuerzas armadas de la Federación de Rusia, ha trabajado con las fuerzas militares rusas en Ucrania para comprometer los relatos de señales en teléfonos y computadoras capturadas en el campo de batalla.
Los investigadores mandiantes de Google identificaron un sitio web de idioma ruso que dio instrucciones a los hablantes rusos sobre cómo emparejar cuentas de señal o telegrama con infraestructura controlada por APT44.
“La extrapolación es que esto se está aprovisionando a las fuerzas rusas para poder desplegar dispositivos capturados en el campo de batalla y enviar las comunicaciones al Gru para ser explotadas”, dijo Black a Computer Weekly.
Se cree que Rusia ha devuelto las comunicaciones de señales interceptadas a un “lago de datos” para analizar el contenido de un gran número de comunicaciones de señales para la inteligencia del campo de batalla.
Compromiso es probable que no se detecte
Los ataques, que se basan en explotar la capacidad de vinculación del dispositivo de la señal, son difíciles de detectar y cuando tienen éxito existe un alto riesgo de que las cuentas de señal comprometidas puedan pasar desapercibidas durante mucho tiempo.
Google ha identificado otro clúster de atacantes respaldados por Rusia, conocido como UNC5792, que ha utilizado versiones modificadas del grupo de señales legítimo de las páginas de invitación que vinculan la cuenta de señal de la víctima a un dispositivo controlado por el grupo de piratería, lo que permite al grupo leer y acceder al objetivo. Mensajes de señal.
Otros actores de amenaza vinculados a Rusia han desarrollado una señal “Kit de phishing” de señal diseñada para imitar los componentes del software de guía de artillería Kropyva utilizado por el ejército ucraniano. El grupo de piratería, conocido como UNC4221, utilizó páginas web maliciosas previamente diseñadas para imitar alertas de seguridad legítimas de Signal.
El grupo también ha utilizado una carga útil liviana de JavaScript, conocida como Pinpoint, para recopilar información básica del usuario y datos de geolocalización de los navegadores web.
Google advirtió que es probable que la combinación de acceso a mensajes seguros y datos de ubicación de las víctimas se use para apuntalar operaciones de vigilancia dirigidas o para apoyar las operaciones militares convencionales en Ucrania.
Bases de datos de señales atacadas contra Android
Google también advirtió que se han observado múltiples actores de amenaza utilizando exploits para robar archivos de base de datos de señales de dispositivos Android y Windows comprometidos.
En 2023, el Centro Nacional de Seguridad Cibernética del Reino Unido y el Servicio de Seguridad de Ucrania advirtieron que el Grupo de piratería de gusanos de arena había desplegado malware Android, conocido como infame cincel, para buscar aplicaciones de mensajería, incluidas las señales, en dispositivos Android.
El malware puede escanear dispositivos infectados para mensajes de WhatsApp, mensajes de discordia, información de geolocalización y otros datos de interés para la inteligencia rusa. Es capaz de identificar la señal y otros mensajes y “empaquetarlos” en forma sin cifrar para la exfiltración.
APT44 opera un script de lote de Windows liviano, conocido como Wavesign, para consultar periódicamente los mensajes de señal de la base de datos de señales de una víctima y exfiltrar los mensajes más recientes.
El actor de amenaza rusa Turla, que ha sido atribuido por los Estados Unidos y el Reino Unido al Servicio de Seguridad Federal Rusia, ha utilizado un guión de PowerShell liviano para exfiltrar los mensajes de escritorio de señales.
Y en Bielorrusia, un aliado de Rusia, un grupo de piratería designado como UNC1151 ha utilizado una utilidad de línea de comandos, conocida como robocopy, para alinear el contenido de los directorios de archivos utilizados por la señal de escritorio para almacenar mensajes y archivos adjuntos para una exfiltración posterior.
Servicios de mensajería cifrados bajo amenaza
Google advirtió que los intentos de múltiples actores de amenazas para dirigir la señal sirven como una advertencia para la creciente amenaza de asegurar los servicios de mensajería y que los ataques seguramente se intensificarán en el futuro a corto plazo.
“Parece haber una demanda clara y creciente de capacidades cibernéticas ofensivas que pueden usarse para monitorear las comunicaciones sensibles de las personas que confían en aplicaciones de mensajería seguras para salvaguardar su actividad en línea”, dijo.
Los ataques explotan ‘función legítima’
Los usuarios de comunicaciones cifradas no solo están en riesgo de los ataques de phishing y malware, sino también de la capacidad de los actores de amenaza para asegurar el acceso al dispositivo de un objetivo, por ejemplo, al romper la contraseña.
Black dijo que era insidioso que los atacantes rusos estaban usando una “función legítima” en la señal para obtener acceso a comunicaciones confidenciales, en lugar de comprometer los teléfonos de las víctimas o romper el cifrado de la aplicación.
“Muchas audiencias que están utilizando Signal para tener comunicaciones sensibles deben pensar en el riesgo de combinar su dispositivo con un segundo dispositivo”, dijo.
Señal y telegrama dirigido
Los grupos alineados por Rusia también han dirigido a otras plataformas de mensajería ampliamente utilizadas, incluidas la señal y el telegrama.
Un grupo de piratería ruso vinculado al Servicio de Inteligencia FSB de Rusia, conocido de manera diversa como Coldriver, SeBorgium, Callisto y Star Blizzard, cambió sus tácticas a fines de 2024 para lanzar ataques de ingeniería social a personas que usan mensajes cifrados de WhatsApp.
El grupo se dirige a parlamentarios, personas involucradas en gobiernos o diplomacia, política de investigación y defensa, y organizaciones o personas que apoyan a Ucrania.
Según lo expuesto por Computer Weekly en 2022, Star Blizzard anteriormente pirateó, comprometió y filtró correos electrónicos y documentos pertenecientes a un ex jefe de MI6, junto con otros miembros de una red secreta de derecha dedicada a hacer campaña por un Brexit duro extremo.
El diputado del Partido Nacional Escocés Stewart McDonald fue otra víctima del grupo. El periodista independiente de la izquierda Paul Mason, quien con frecuencia criticó la guerra de Putin contra Ucrania, también fue atacado por el grupo y sus correos electrónicos se filtraron a Greyzone, una publicación pro-rusa en los Estados Unidos.
Académicos de las universidades de Bristol, Cambridge y Edimburgo, incluido el difunto Ross Anderson, profesor de ingeniería de seguridad, publicada por primera vez en 2023 advirtiendo que las versiones de escritorio de Signal y WhatsApp podrían verse comprometidas si un guardia fronteriza o un socio íntimo, permitiéndoles leer todos los mensajes futuros.
Señal endurece la seguridad
La señal ha tomado medidas para mejorar la seguridad de su función de emparejamiento para alertar a los usuarios de posibles intentos de obtener acceso a sus cuentas a través de tácticas de ingeniería social, siguiendo los hallazgos de Google.
Josh Lund, tecnólogo senior de Signal, dijo que la organización había introducido una serie de actualizaciones para mitigar los posibles ataques de ingeniería social y phishing antes de que Google se abordara.
“Google Threat Intelligence Group nos proporcionó información adicional, e introdujimos nuevas mejoras en función de sus comentarios. Estamos agradecidos por su ayuda y colaboración cercana ”, dijo a Computer Weekly.
Desde entonces, la señal ha realizado más mejoras, incluida la revisión de la interfaz para proporcionar alertas adicionales cuando alguien vincula un nuevo dispositivo.
También ha introducido pasos de autenticación adicionales para evitar que otro que no sea el propietario del dispositivo primario agregue un nuevo dispositivo vinculado. Cuando cualquier dispositivo nuevo está vinculado a una cuenta de señal, el dispositivo primario recibirá automáticamente una notificación, lo que permite a los usuarios revisar y eliminar rápidamente los dispositivos vinculados desconocidos o no deseados.
Dan Black aconsejó a la gente que la aplicación Signal piense cuidadosamente antes de aceptar enlaces a los chats grupales.
“Si es un contacto que sabes, simplemente crea el grupo usted mismo directamente. No use enlaces externos para hacer cosas que pueda hacer directamente utilizando las funciones de la aplicación de mensajería ”, dijo.
Lea más sobre los ataques rusos contra la señal en la publicación del blog de Dan Black.