Αποτυχημένη απόπειρα αλίευσης κωδικών στο Signal εναντίον ερευνητή της Amnesty αποκάλυψε μαζική ρωσική κυβερνοεκστρατεία. Πάνω από 13.500 λογαριασμοί φέρονται να έχουν στοχοποιηθεί.
Σε μια σπάνια αντιστροφή ρόλων, ο επικεφαλής του Security Lab της Amnesty International, Ντόναχα Ο’Κέρβαλ, έγινε στόχος της ίδιας μορφής κυβερνοεπίθεσης που ο ίδιος ερευνά τα τελευταία χρόνια. Ένα υποτιθέμενο «Signal Security Support ChatBot» προσπάθησε να τον παραπλανήσει ώστε να παραδώσει τον κωδικό επιβεβαίωσης του λογαριασμού του, δίνοντας ουσιαστικά τον έλεγχο σε άγνωστους επιτιθέμενους.
Η μέθοδος επίθεσης και η ρωσική υπογραφή
Το μήνυμα ισχυριζόταν ότι είχε εντοπιστεί «ύποπτη δραστηριότητα» και ζητούσε από τον χρήστη να περάσει από «διαδικασία επαλήθευσης» εισάγοντας τον κωδικό ασφαλείας στο chatbot, με τη χαρακτηριστική προειδοποίηση «ΜΗΝ ΠΕΙΤΕ ΣΕ ΚΑΝΕΝΑΝ ΤΟΝ ΚΩΔΙΚΟ». Για έναν εξειδικευμένο ερευνητή, η απάτη ήταν προφανής· ωστόσο το περιστατικό του έδωσε την ευκαιρία να ερευνήσει σε βάθος την εκστρατεία.
Σύμφωνα με τα ευρήματά του, η επίθεση εντασσόταν σε μια πολύ ευρύτερη καμπάνια που στοχοποιεί χρήστες του Signal, με τεχνικές πλαστοπροσωπίας της ίδιας της πλατφόρμας και ψευδείς προειδοποιήσεις ασφαλείας, προκειμένου να δελεαστούν τα θύματα να συνδέσουν τον λογαριασμό τους σε συσκευή ελεγχόμενη από τους χάκερ. Αντίστοιχες επιθέσεις έχουν ήδη αποδοθεί από τις υπηρεσίες κυβερνοασφάλειας των ΗΠΑ, του Ηνωμένου Βασιλείου και της Ολλανδίας σε ρωσικές κρατικές ομάδες κατασκοπείας, ενώ και το Signal έχει προειδοποιήσει για στοχευμένο phishing.
Το αυτοματοποιημένο εργαλείο «ApocalypseZ» και οι κίνδυνοι
Ο Ο’Κέρβαλ εντόπισε ότι οι επιθέσεις διενεργούνται μέσω ενός συστήματος με την ονομασία «ApocalypseZ», το οποίο αυτοματοποιεί τη διαδικασία: επιτρέπει μαζική αποστολή μηνυμάτων phishing με ελάχιστη ανθρώπινη παρέμβαση. Η διεπαφή χειριστή και ο κώδικας είναι στα ρωσικά, ενώ τα μηνύματα των θυμάτων μεταφράζονται επίσης στα ρωσικά, ενισχύοντας την εκτίμηση ότι πίσω από την καμπάνια βρίσκεται κρατικά υποστηριζόμενη ρωσική ομάδα.
Ο ερευνητής εκτίμησε ότι ανήκει σε μια δεξαμενή άνω των 13.500 στοχοποιημένων λογαριασμών, ενώ μιλά για «υπόθεση χιονοστιβάδας»: οι χάκερ, αφού παραβιάσουν έναν λογαριασμό, αξιοποιούν ομαδικές συνομιλίες και λίστες επαφών για να επεκτείνουν ραγδαία τον κύκλο των πιθανών θυμάτων. Δημοσιεύματα στη Γερμανία αναφέρουν ήδη επιτυχείς παραβιάσεις, ακόμη και εις βάρος πολιτικών προσώπων.
Για τους χρήστες του Signal, η βασική γραμμή άμυνας είναι η ενεργοποίηση της λειτουργίας «Registration Lock», η οποία απαιτεί PIN για νέα εγγραφή αριθμού σε άλλη συσκευή, δυσκολεύοντας την αθόρυβη υφαρπαγή λογαριασμών από επιτιθέμενους.
Σχόλιο 
: Η υπόθεση αναδεικνύει πόσο κρίσιμη είναι η κυβερνοασφάλεια για ακτιβιστές, δημοσιογράφους και πολιτικούς, αλλά και πόσο ευάλωτη παραμένει η καθημερινή ψηφιακή επικοινωνία σε κρατικά υποστηριζόμενες επιχειρήσεις κατασκοπείας. Για την Ευρώπη και την Ελλάδα, όπου η χρήση κρυπτογραφημένων εφαρμογών αυξάνεται, η υπόθεση λειτουργεί ως προειδοποίηση: οι τεχνικές phishing γίνονται ολοένα πιο πειστικές, άρα η εκπαίδευση των χρηστών και η υιοθέτηση πρόσθετων δικλείδων (όπως PIN και πολυπαραγοντική επαλήθευση) δεν είναι πλέον επιλογή, αλλά αναγκαιότητα.
#κυβερνοασφάλεια #Signal #Ρωσία #κατασκοπεία #Amnesty
