قامت مجموعات القرصنة المدعومة من روسيا بتطوير تقنيات لتسوية خدمات المراسلة المشفرة ، بما في ذلك الإشارة و WhatsApp و Telegram ، ووضع الصحفيين والسياسيين والناشطين ذوي الاهتمام لخدمة الاستخبارات الروسية في خطر محتمل.
كشفت مجموعة Google Threat Intelligence Group اليوم أن المتسللين المدعومين من روسيا قد صدوا هجمات على حسابات Signal Messenger للوصول إلى الاتصالات الحكومية والعسكرية الحساسة المتعلقة بالحرب في أوكرانيا.
يتوقع المحللون أن تكون مسألة وقت فقط قبل أن تبدأ روسيا في نشر تقنيات القرصنة ضد مستخدمي الإشارات غير العسكرية ومستخدمي خدمات المراسلة المشفرة الأخرى ، بما في ذلك WhatsApp و Telegram.
قال دان بلاك ، مدير تحليل التجسس Cyber في قسم Mandiant من Google Cloud ، إنه “سيصاب بالصدمة تمامًا” إذا لم ير هجمات ضد الإشارة تتوسع إلى ما بعد الحرب في أوكرانيا ولأن منصات المراسلة المشفرة الأخرى.
وقال إن روسيا كانت في كثير من الأحيان “محركًا أول” في الهجمات الإلكترونية ، وأنها ستكون مسألة وقت فقط قبل أن تستخدم دول أخرى ، مثل إيران والصين وكوريا الشمالية ، مآثر لمهاجمة الرسائل المشفرة لموضوعات ذكاءات الاستخبارات .
يتبع التحذير الإفصاحات التي تفيد بأن الذكاء الروسي خلق أ موقع Spoof للمنتدى الاقتصادي العالمي Davos في يناير 2025 لمحاولة الوصول إلى حسابات WhatsApp التي يستخدمها المسؤولون الحكوميون الأوكرانيون والدبلوماسيون والصحفي السابق في التحقيقات في بيلينجكات.
الأجهزة المرتبطة المستهدفة
يحاول المتسللون المدعومين من روسيا بالتسوية على إمكانية “الأجهزة المرتبطة” الخاصة بالإشارة ، والتي تتيح لمستخدمي الإشارة ربط حساب الرسائل الخاص بهم بأجهزة متعددة ، بما في ذلك الهواتف وأجهزة الكمبيوتر المحمولة ، باستخدام رمز الاستجابة السريعة (QR).
أفاد محللو التهديدات من Google أن ممثلي التهديدات المرتبطة بالروسيا قد طوروا رموز QR ضارة ، عند مسحها ضوئيًا ، ستمنح ممثل التهديد في الوقت الفعلي إلى رسائل الضحية دون الاضطرار إلى التنازل عن هاتف الضحية أو الكمبيوتر.
في إحدى الحالات ، وفقًا لـ Black ، قاد حساب الإشارة المعرض للخطر روسيا إلى إطلاق ضربة مدفعية ضد لواء الجيش الأوكراني ، مما أدى إلى عدد من الضحايا.
وقد لوحظت مجموعات مدعومة من روسيا بتخليط رموز ضارة كدعوات لمناقشات مجموعة الإشارة أو كتعليمات اقتران الجهاز المشروعة من موقع الإشارة.
في بعض هجمات التصيد الدائرية المستهدفة ، قام المتسللون المرتبطون بالروسيا أيضًا بتضمين رموز QR الضارة في مواقع التصيد المصممة لتقليد التطبيقات المتخصصة التي يستخدمها ضحايا الهجوم.
وجدت إشارة روسيا القنفية على هواتف ساحة المعركة
المرتبطة روسيا الدودة الرملية عملت المجموعة ، المعروفة أيضًا باسم APT44 ، والتي ترتبط بالموظفين العامين للقوات المسلحة للاتحاد الروسي ، مع القوات العسكرية الروسية في أوكرانيا لتسوية حسابات الإشارات على الهواتف وأجهزة الكمبيوتر التي تم التقاطها في ساحة المعركة.
حدد الباحثون في Google Mandiant موقعًا على الويب الروسي على الويب يعطي تعليمات للمتحدثين الروسيين حول كيفية إقران حسابات الإشارة أو البرقية مع البنية التحتية التي تسيطر عليها APT44.
“إن الاستقراء هو أن هذا يتم توفيره للقوات الروسية ليكون قادرًا على نشر الأجهزة التي تم التقاطها في ساحة المعركة وإرسال الاتصالات إلى GRU ليتم استغلالها”.
يُعتقد أن روسيا قد أطعمت اتصالات الإشارة المقابلة إلى “بحيرة البيانات” لتحليل محتوى أعداد كبيرة من اتصالات الإشارة لذكاء ساحة المعركة.
حل وسط من المحتمل أن يتم اكتشافه
من الصعب اكتشاف الهجمات ، التي تستند إلى استغلال جهاز ربط إمكانية ارتباط الإشارة ، وعندما يكون هناك نجاح ، هناك خطر كبير يمكن أن تمر حسابات الإشارات المعرضة للخطر لفترة طويلة.
حددت Google مجموعة أخرى من المهاجمين المدعومين من روسيا، المعروف باسم UNC5792، وقد استخدم ذلك إصدارات معدلة من مجموعة الإشارات المشروعة تدعو الصفحات التي تربط حساب إشارة الضحية بجهاز يتحكم فيه مجموعة القرصنة ، مما يتيح للمجموعة قراءة رسائل الإشارة الهدف والوصول إليها.
طور ممثلو التهديدات المرتبطين في روسيا إشارة “مجموعة التصيد” إشارة مصممة لتقليد مكونات كروبيفا برنامج توجيه المدفعية المستخدمة من قبل الجيش الأوكراني. مجموعة القرصنة ، المعروفة باسم UNC4221 ، التي تم استخدامها مسبقًا صفحات الويب الضارة المصممة لتقليد تنبيهات الأمن المشروعة من الإشارة.
استخدمت المجموعة أيضًا حمولة JavaScript خفيفة الوزن ، المعروفة باسم Pinpoint ، لجمع معلومات المستخدم الأساسية وبيانات تحديد الموقع الجغرافي من متصفحات الويب.
حذرت Google من أن الجمع بين الوصول إلى الرسائل الآمنة وبيانات المواقع للضحايا من المحتمل أن يتم استخدامه لدعم عمليات المراقبة المستهدفة أو لدعم العمليات العسكرية التقليدية في أوكرانيا.
قواعد بيانات الإشارة التي هاجمت على Android
حذرت Google أيضًا من أن الجهات الفاعلة المتعددة في التهديد قد لوحظت باستخدام مآثر لسرقة ملفات قاعدة بيانات الإشارة من أجهزة Android و Windows المعرضة للخطر.
في عام 2023 ، حذر المركز الوطني للأمن السيبراني في المملكة المتحدة وخدمة الأمن في أوكرانيا من أن مجموعة القرصنة في Sandworm قد نشرت برامج Android ، المعروفة باسم إزميل سيئ السمعة، للبحث عن تطبيقات المراسلة ، بما في ذلك الإشارة ، على أجهزة Android.
البرامج الضارة قادرة على مسح الأجهزة المصابة لرسائل WhatsApp ورسائل Discord ومعلومات تحديد الموقع الجغرافي وغيرها من البيانات المهمة للذكاء الروسي. إنه قادر على تحديد الإشارة والرسائل الأخرى و “حزمها” في شكل غير مشفر للتركيب.
يدير APT44 برنامج نصي مدفوعة Windows خفيفة الوزن ، المعروف باسم Wavesign ، للاستعلام بشكل دوري رسائل الإشارة من قاعدة بيانات إشارة الضحية ولتخفيف الرسائل الأخيرة.
ممثل التهديد الروسي تورلا، التي نسبتها الولايات المتحدة والمملكة المتحدة إلى خدمة الأمن الفيدرالية الروسية ، استخدمت نصًا خفيفًا لخفيف الوزن لرسائل سطح المكتب الإشارة.
وفي بيلاروسيا ، حليف لروسيا ، مجموعة من القرصنة المعينة على أنها UNC1151 استخدم أداة سطر الأوامر ، المعروفة باسم robocopy ، لتصنيف محتويات أدلة الملفات التي تستخدمها سطح مكتب الإشارة لتخزين الرسائل والمرفقات للتركيب اللاحق.
خدمات المراسلة المشفرة تحت تهديد
حذرت Google من أن محاولات الجهات الفاعلة للتهديدات المتعددة لاستهداف الإشارة بمثابة تحذير للتهديد المتزايد لتأمين خدمات المراسلة وأن الهجمات من المؤكد أن تكثف في المستقبل القريب.
وقالت: “يبدو أن هناك طلبًا واضحًا ومتزايد على القدرات السيبرانية الهجومية التي يمكن استخدامها لمراقبة الاتصالات الحساسة للأفراد الذين يعتمدون على تطبيقات الرسائل الآمنة لحماية نشاطهم عبر الإنترنت”.
تستغل الهجمات “وظيفة شرعية”
لا يتعرض مستخدمو الاتصالات المشفرة للخطر فقط من هجمات التصيد والبرامج الضارة ، ولكن أيضًا من قدرة الجهات الفاعلة على التهديد على تأمين الوصول إلى جهاز الهدف – على سبيل المثال ، عن طريق كسر كلمة المرور.
قال بلاك إنه كان من الغدر أن يستخدم المهاجمون الروس “وظيفة شرعية” في الإشارة للوصول إلى الاتصالات السرية ، بدلاً من التنازل عن هواتف الضحايا أو كسر تشفير التطبيق.
وقال: “هناك الكثير من الجماهير التي تستخدم إشارة للحصول على اتصالات حساسة تحتاج إلى التفكير في خطر إقران أجهزتهم بجهاز ثانٍ”.
تستهدف الإشارة والبرقية
استهدفت المجموعات المحاذاة روسيا أيضًا منصات المراسلة الأخرى المستخدمة على نطاق واسع ، بما في ذلك الإشارة والبرقية.
مجموعة قرصنة روسية مرتبطة بخدمة FSB الاستخباراتية الروسية ، والمعروفة بشكل مختلف باسم ColdRiver و Seaborgium و Callisto و Star Blizzard، حولت تكتيكاتها في أواخر عام 2024 لإطلاق هجمات الهندسة الاجتماعية على الأشخاص الذين يستخدمون الرسائل المشفرة WhatsApp.
المجموعة أهداف النواب، الأشخاص المشاركين في الحكومات أو الدبلوماسية ، والبحث والدفاع ، والمنظمات أو الأفراد الذين يدعمون أوكرانيا.
وفقًا لما تعرضته الكمبيوتر أسبوعيًا في عام 2022 ، تم اختراق Star Blizzard مسبقًا ورسائل بريد إلكتروني ومستندات متوقعة ومربحة رئيس MI6 السابق، إلى جانب أعضاء آخرين من شبكة يمينية سرية مكرسة للحملات من أجل خروج بريطانيا من الاتحاد الأوروبي الصلب الشديد.
النائب الحزب الوطني الاسكتلندي ستيوارت ماكدونالد كان ضحية أخرى للمجموعة. كما استهدف المجموعة الصحفية المستقلة بين الجناح الأيسر بول ماسون ، الذي انتقد حرب بوتين ضد أوكرانيا بشكل متكرر ، وسائل البريد الإلكتروني الخاصة به إلى Greyzone ، وهو منشور مؤيد لروسيا في الولايات المتحدة.
الأكاديميون من جامعات بريستول وكامبريدج وإدنبرة ، بما في ذلك الراحل روس أندرسون، أستاذ الهندسة الأمنية ، التي تم نشرها لأول مرة في عام 2023 تحذيرًا من أن إصدارات سطح المكتب من Signal و WhatsApp يمكن اختراقها إذا تم الوصول إليها من قبل حارس الحدود أو شريك حميم ، مما يتيح لهم قراءة جميع الرسائل المستقبلية.
إشارة تصلب الأمن
اتخذت الإشارة خطوات لتحسين أمان وظيفة الاقتران الخاصة بها لتنبيه المستخدمين إلى محاولات محتملة للوصول إلى حساباتهم من خلال تكتيكات الهندسة الاجتماعية ، بعد نتائج Google.
وقال جوش لوند ، كبير الفنيين في Signal ، إن المؤسسة قد أدخلت عددًا من التحديثات للتخفيف من هجمات الهندسة الاجتماعية والتصيد المحتملة قبل أن تتعامل معها من قبل Google.
“لقد زودتنا Google That Intelligence Group بمعلومات إضافية ، وقمنا بتقديم المزيد من التحسينات بناءً على ملاحظاتهم. نحن ممتنون لمساعدتهم والتعاون الوثيق “.
قامت الإشارة منذ ذلك الحين بإجراء مزيد من التحسينات ، بما في ذلك إصلاح الواجهة لتوفير تنبيهات إضافية عندما يربط شخص ما جهازًا جديدًا.
كما قدم خطوات مصادقة إضافية لمنع أي شخص آخر غير مالك الجهاز الأساسي من إضافة جهاز جديد مرتبط. عندما يتم ربط أي جهاز جديد بحساب إشارة ، سيتلقى الجهاز الأساسي إشعارًا تلقائيًا ، مما يسمح للمستخدمين بمراجعة وإزالة أي أجهزة غير معروفة أو غير مرغوب فيها.
نصح Dan Black الأشخاص بتطبيق الإشارة إلى التفكير بعناية قبل قبول الروابط لمجموعات المجموعة.
“إذا كانت جهة اتصال تعرفها ، فما عليك سوى إنشاء المجموعة بنفسك مباشرة. لا تستخدم الروابط الخارجية للقيام بأشياء يمكنك القيام بها مباشرة باستخدام ميزات تطبيق المراسلة “.
اقرأ المزيد عن الهجمات الروسية على إشارة منشور مدونة دان بلاك.
