Les auteurs de menaces russes lancent des campagnes de phishing qui exploitent la fonctionnalité légitime “Appareils liés” de l’application de messagerie Signal pour obtenir un accès non autorisé aux comptes d’intérêt.
Au cours de l’année écoulée, les chercheurs ont observé des opérations de phishing attribuées à des groupes alignés sur l’État russe qui utilisaient plusieurs méthodes pour inciter les cibles à lier leur compte Signal à un appareil contrôlé par l’attaquant.
Hameçonnage de liaison d’appareil
Dans un rapport publié aujourd’hui, le Groupe de renseignement sur les menaces de Google (GTIG) affirme que l’abus de la fonction de liaison des appareils de Signal est la “technique la plus nouvelle et la plus largement utilisée qui sous-tend les tentatives alignées sur la Russie de compromettre les comptes Signal.”
Les auteurs de menaces ont exploité cette fonctionnalité en créant des codes QR malveillants et en incitant les victimes potentielles à les scanner pour permettre aux messages Signal de se synchroniser avec l’appareil de l’attaquant.
C’est une astuce simple qui ne nécessite pas de compromis complet de l’appareil de la cible pour surveiller leurs conversations sécurisées.
Les chercheurs du GTIG ont observé que cette méthode était adaptée au type de cible. Dans une campagne plus large, l’attaquant déguiserait le code malveillant en ressource d’application légitime (par exemple, des invitations de groupe Signal) ou en instructions d’appariement d’appareils provenant du site Web Signal légitime.
Pour les attaques ciblées, l’auteur de la menace ajouterait les codes QR malveillants aux pages de phishing conçues pour intéresser la victime potentielle, telles que » les applications spécialisées utilisées par les cibles ultimes de l’opération.”
De plus, GTIG a remarqué que le tristement célèbre groupe de pirates informatiques russes Sandworm (Seashell Blizzard/APT44) utilisait des codes QR malveillants pour accéder aux comptes Signal sur des appareils capturés sur le champ de bataille par les forces militaires déployées.
Une autre astuce basée sur la fonctionnalité de liaison de périphérique que GTIG a observée dans une activité présumée d’espionnage russe consiste à modifier une page d’invitation de groupe légitime pour rediriger vers une URL malveillante qui connecte le compte Signal de la cible à un périphérique contrôlé par l’attaquant.
Cette méthode a été observée avec un groupe d’activités suivi en interne sous le numéro UNC5792, qui présente des similitudes avec un acteur que l’Équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA) appelle UAC-0195, dont l’activité a été liée à des tentatives de compromission des comptes WhatsApp.
“Dans ces opérations, UNC5792 a hébergé des invitations de groupe de signaux modifiées sur une infrastructure contrôlée par un acteur conçue pour apparaître identique à une invitation de groupe de signaux légitime » – Google Threat Intelligence Group
Les fausses invitations avaient le code JavaScript de redirection légitime remplacé par un bloc malveillant qui incluait l’URI (Uniform Resource Identifier) de Signal pour lier un nouvel appareil (« sgnl://linkdevice uuid ») au lieu de celui pour rejoindre le groupe (« sgnl: / / signal.groupe/ »).
Lorsque la cible acceptait l’invitation à rejoindre le groupe, elle connectait son compte Signal à un appareil contrôlé par un attaquant.
Kit d’hameçonnage personnalisé
Un autre acteur menaçant lié à la Russie, que le GTIG suit comme UNC4221 et CERT-UA comme UAC-0185, a utilisé un kit de phishing spécialement créé pour cibler les comptes de signal du personnel militaire ukrainien.
Le kit de phishing usurpe l’identité du logiciel Kropyva, que les Forces armées ukrainiennes utilisent pour le guidage de l’artillerie, la cartographie des champs de mines ou la localisation des soldats.
L’astuce de liaison de périphérique dans ces attaques est masquée par une infrastructure secondaire (signal-confirm[.] site) créé pour usurper l’identité des instructions de signal légitimes pour l’opération.
Les attaquants ont également utilisé le phishing sur le thème de Kropyva pour distribuer des codes QR malveillants reliant les appareils, et des opérations plus anciennes attirées par de fausses alertes de sécurité Signal hébergées sur des domaines se faisant passer pour le service de messagerie.
GTIG dit avoir observé les efforts russes et biélorusses pour rechercher et collecter des messages à partir des fichiers de base de données de Signal app sur Android et Windows à l’aide du script batch WAVESIGN, du tristement célèbre malware Chisel, des scripts PowerShell et de l’utilitaire de ligne de commande Robocopy.
Les chercheurs soulignent que Signal n’est pas la seule application de messagerie russe Les acteurs de la menace russe ont manifesté leur intérêt ces derniers mois et ont souligné la campagne Colddriver qui ciblait les comptes WhatsApp de diplomates de grande valeur.
Ce type de compromis de liaison d’appareils est difficile à détecter et à protéger car il n’existe aucune solution technique pour surveiller la menace des appareils nouvellement liés, notent les chercheurs.
Ils disent que “lorsqu’il réussit, il y a un risque élevé qu’un compromis puisse passer inaperçu pendant de longues périodes.”
Il est conseillé aux utilisateurs de Signal de mettre à jour vers la dernière version de l’application, qui inclut des protections améliorées contre les attaques de phishing observées par Google.
D’autres recommandations incluent l’activation du verrouillage de l’écran sur les appareils mobiles avec un mot de passe long et complexe, la vérification régulière de la liste des appareils liés, la prudence lors de l’interaction avec les codes QR et l’activation de l’authentification à deux facteurs.