Aktor Ancaman Terkait Rusia Secara Aktif Menargetkan Signal Messenger

 (cloud.google.com)
1 poin oleh GN⁺ 2025-02-20 | 2 komentar | Bagikan ke WhatsApp

Aktivitas aktor ancaman terkait Rusia yang sedang menargetkan Signal Messenger

  • Google Threat Intelligence Group (GTIG) mengamati aktivitas aktor ancaman yang terkait dengan negara Rusia yang menargetkan akun Signal Messenger. Hal ini tampaknya dipicu oleh kebutuhan masa perang untuk mengakses komunikasi pemerintah dan militer yang sensitif terkait invasi ulang Rusia ke Ukraina. Taktik dan metode semacam ini kemungkinan akan menyebar ke lebih banyak aktor ancaman dan wilayah di masa depan.

  • Signal sangat populer di kalangan target umum pengawasan dan kegiatan intelijen, seperti tentara, politisi, jurnalis, dan aktivis, sehingga menjadi target bernilai tinggi bagi pihak lawan yang ingin mencegat informasi sensitif. Ancaman ini juga meluas ke aplikasi messenger populer lain seperti WhatsApp dan Telegram.

  • Melalui kerja sama dengan tim Signal, versi terbaru Signal telah memperkuat perlindungan terhadap kampanye phishing serupa. Disarankan untuk memperbarui ke versi terbaru.

Kampanye phishing yang menyalahgunakan fitur "perangkat tertaut" Signal

  • Aktor terkait Rusia menyalahgunakan fitur "perangkat tertaut" untuk membobol akun Signal. Fitur ini memungkinkan penggunaan Signal di beberapa perangkat secara bersamaan. Mereka berusaha menautkan akun korban ke instance Signal yang dikendalikan pelaku melalui kode QR berbahaya.

  • Dalam operasi phishing jarak jauh, kode QR berbahaya digunakan dengan menyamar sebagai sumber daya Signal. Kode QR juga disertakan dalam halaman phishing yang menyamar sebagai aplikasi khusus yang digunakan oleh militer Ukraina.

UNC5792: Undangan grup Signal yang dimodifikasi

  • UNC5792 memodifikasi halaman "undangan grup" untuk mengarahkan ulang ke URL berbahaya demi membobol akun Signal. Ini merupakan upaya untuk menautkan akun Signal korban ke perangkat yang dikendalikan pelaku.

UNC4221: Kit phishing Signal kustom

  • UNC4221 menargetkan akun Signal yang digunakan oleh tentara Ukraina. Grup ini mengoperasikan kit phishing yang meniru aplikasi Kropyva, dan menyamarkannya sebagai undangan grup Signal dari kontak tepercaya.

Upaya pencurian pesan Signal di Rusia dan Belarus

  • Beberapa aktor ancaman regional mengoperasikan kemampuan untuk mencuri file basis data Signal di perangkat Android dan Windows. APT44 menggunakan skrip batch Windows bernama WAVESIGN untuk secara berkala melakukan kueri terhadap pesan Signal dan mengekfiltrasinya menggunakan Rclone.

Prospek dan dampak

  • Banyaknya aktor ancaman yang menargetkan Signal menjadi peringatan bahwa ancaman terhadap aplikasi pesan aman sedang meningkat. Ancaman ini mencakup tidak hanya operasi siber jarak jauh seperti phishing dan distribusi malware, tetapi juga operasi akses jarak dekat yang dapat memperoleh akses ke perangkat target yang tidak terkunci.

  • Individu yang menggunakan aplikasi pesan aman perlu melindungi diri dengan mengaktifkan kunci layar, memperbarui sistem operasi, mengaktifkan Google Play Protect, berhati-hati terhadap kode QR dan sumber daya web, serta menggunakan autentikasi dua faktor.

Bacaan terkait

2 komentar

 
ndrgrd 2025-02-20

Memang benar ada kerentanannya, tetapi lucu juga kalau Telegram—yang bahkan chat grupnya tidak terenkripsi dengan semestinya—mengkritik soal keamanan.
 
GN⁺ 2025-02-20
Opini Hacker News

  • Alur kerja perangkat tertaut pada aplikasi seperti Signal sudah lama berisiko

    • Telegram pernah menyinggung masalah ini saat mengkritik Signal
    • Implementasi perangkat tertaut sudah lama bermasalah
    • Mengejutkan bahwa butuh waktu lama sampai serangan ini muncul dalam literatur terbuka
    • Sikap Signal yang meremehkan serangan ini tidak membantu

  • Enkripsi E2E membuat orang sadar bahwa pengguna harus membangun dan memverifikasi klien sendiri

    • Semua yang diklaim protokol bisa menjadi tidak berarti
    • Masalah bisa muncul dalam proses distribusi ke iOS Store
    • Semuanya bergantung pada kepercayaan
    • Menggunakan Signal justru bisa membuat seseorang menjadi target pengawasan
    • Pembahasan tentang validitas matematis protokol keamanan terasa sia-sia

  • Tidak disebutkan secara jelas dalam artikel, tetapi langkah pertama serangan ini adalah mengambil ponsel pintar milik prajurit yang gugur

  • Jika penautan perangkat bisa dilakukan hanya dengan memindai kode QR, ini adalah masalah

    • Penautan perangkat harus dikonfirmasi secara manual
    • Harus berhati-hati agar tidak membingungkan pemindaian kode undangan grup dengan penautan perangkat

  • Beberapa domain memang diberikan, tetapi tidak semuanya sedang digunakan

    • Negara yang sedang berperang tidak seharusnya dipercaya
    • Setiap negara punya agendanya sendiri

  • Banyak suara yang mengklaim bahwa Signal telah dikompromikan

    • Signal, sebagai perusahaan berskala web, sedang berupaya melindungi hak asasi manusia
    • Martabat individu itu penting
    • Ini bukan percakapan yang sederhana

  • Kabar baiknya adalah target ini disasar karena memang efektif

  • "Ancaman yang terkait dengan Rusia"... jadi apakah itu Amerika Serikat?

  • Di menu pengaturan, Anda bisa memeriksa perangkat tertaut yang tidak terduga