Des acteurs de menace liés à la Russie ciblent activement Signal Messenger

 (cloud.google.com)
1 points par GN⁺ 2025-02-20 | 2 commentaires | Partager sur WhatsApp

Activité en cours d’acteurs de menace liés à la Russie ciblant Signal Messenger

  • Google Threat Intelligence Group (GTIG) a observé des activités d’acteurs de menace liés à l’État russe ciblant des comptes Signal Messenger. Cela semble motivé par des besoins liés au contexte de guerre, visant à accéder à des communications gouvernementales et militaires sensibles en lien avec la réinvasion de l’Ukraine par la Russie. Ces tactiques et méthodes pourraient à l’avenir se propager à davantage d’acteurs de menace et de régions.

  • Signal est très populaire parmi des cibles habituelles de la surveillance et de l’espionnage, comme les militaires, les responsables politiques, les journalistes et les militants, ce qui en fait une cible de grande valeur pour des adversaires cherchant à intercepter des informations sensibles. Cette menace s’étend aussi à d’autres applications de messagerie populaires comme WhatsApp et Telegram.

  • En collaboration avec l’équipe Signal, les versions récentes de Signal renforcent les protections contre des campagnes de phishing similaires. Il est recommandé de mettre à jour vers la dernière version.

Campagnes de phishing exploitant la fonctionnalité « appareils liés » de Signal

  • Des acteurs liés à la Russie exploitent la fonctionnalité « appareils liés » afin de compromettre des comptes Signal. Cette fonctionnalité permet d’utiliser Signal simultanément sur plusieurs appareils. Ils tentent de lier le compte de la victime à une instance Signal contrôlée par l’attaquant au moyen de QR codes malveillants.

  • Dans des opérations de phishing à distance, des QR codes malveillants sont utilisés en se faisant passer pour des ressources Signal. Des pages de phishing imitant des applications spécialisées utilisées par l’armée ukrainienne contiennent parfois ces QR codes.

UNC5792 : invitations de groupe Signal modifiées

  • UNC5792 modifie la page d’« invitation de groupe » afin de rediriger vers une URL malveillante dans le but de compromettre des comptes Signal. Il s’agit d’une tentative pour lier le compte Signal de la victime à un appareil contrôlé par l’attaquant.

UNC4221 : kit de phishing Signal sur mesure

  • UNC4221 cible des comptes Signal utilisés par des soldats ukrainiens. Ce groupe exploite un kit de phishing imitant l’application Kropyva et se présentant comme une invitation à un groupe Signal provenant d’un contact de confiance.

Efforts russes et biélorusses d’exfiltration de messages Signal

  • Plusieurs acteurs de menace régionaux disposent de capacités visant à exfiltrer les fichiers de base de données Signal depuis des appareils Android et Windows. APT44 utilise un script Batch Windows appelé WAVESIGN pour interroger périodiquement les messages Signal et les exfiltrer à l’aide de Rclone.

Perspectives et impact

  • Le fait que plusieurs acteurs de menace ciblent Signal alerte sur l’augmentation des menaces pesant sur les applications de messagerie sécurisée. Ces menaces incluent non seulement des opérations cyber à distance, comme le phishing et le déploiement de malwares, mais aussi des opérations de proximité permettant d’obtenir un accès physique à l’appareil déverrouillé de la cible.

  • Les personnes utilisant des applications de messagerie sécurisée doivent se protéger en activant le verrouillage de l’écran, en mettant à jour leur système d’exploitation, en activant Google Play Protect, en restant vigilantes vis-à-vis des QR codes et des ressources web, et en utilisant l’authentification à deux facteurs.

À lire aussi

2 commentaires

 
ndrgrd 2025-02-20

C’est certes vulnérable, mais voir Telegram — qui ne chiffre même pas correctement les discussions de groupe — faire la leçon sur la sécurité, c’est assez risible.
 
GN⁺ 2025-02-20
Avis Hacker News

  • Le workflow des appareils liés dans des applications comme Signal présente des risques depuis longtemps

    • Telegram avait mentionné ce problème lorsqu'il critiquait Signal
    • L'implémentation des appareils liés est problématique depuis longtemps
    • Il est surprenant qu'il ait fallu si longtemps pour voir cette attaque apparaître dans la littérature ouverte
    • Le fait que Signal ait minimisé cette attaque n'a pas aidé

  • Cela rappelle que le chiffrement E2E exige que les utilisateurs construisent et vérifient eux-mêmes le client

    • Tout ce que prétend le protocole peut devenir inutile
    • Des problèmes peuvent survenir lors du processus de distribution sur l'App Store iOS
    • Tout repose sur la confiance
    • Utiliser Signal peut au contraire faire de vous une cible de surveillance
    • Les discussions sur la validité mathématique des protocoles de sécurité semblent vaines

  • Même si ce n'est pas clairement mentionné dans l'article, la première étape de l'attaque consiste à s'emparer du smartphone d'un soldat mort

  • Si l'association d'un appareil est possible par simple scan d'un QR code, c'est un problème

    • Il faut vérifier manuellement les appareils liés
    • Il faut éviter de confondre le scan d'un code d'invitation à un groupe avec l'association d'un appareil

  • Certains domaines ont été fournis, mais ils ne sont pas tous utilisés

    • Il ne faut pas faire confiance à un pays en guerre
    • Chaque pays a son propre agenda

  • Beaucoup affirment que Signal a été compromis

    • Signal essaie de défendre les droits humains en tant qu'entreprise opérant à l'échelle du web
    • La dignité individuelle est importante
    • Ce n'est pas une simple conversation

  • La bonne nouvelle, c'est que la cible l'a été parce qu'elle est efficace

  • « Menaces liées à la Russie »... donc les États-Unis ?

  • Dans le menu des paramètres, il est possible de vérifier la présence d'appareils liés inattendus