Wystartowała Akademia NIS2/KSC2! Można jeszcze dołączyć do końca lipca!
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej
Wystartowała Akademia NIS2/KSC2! Można jeszcze dołączyć do końca lipca!
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej
O atakach na popularne komunikatory internetowe (Signal, WhatsApp) pisaliśmy wielokrotnie na łamach sekuraka. I choć nasi czytelnicy zapewne wiedzą, jakie zagrożenia niosą za sobą złośliwe kody QR lub udostępnianie haseł bezpieczeństwa, to lista osób pokrzywdzonych z dnia na dzień wzrasta.
TLDR:
Mogłoby się wydawać, że cyberprzestępcy przełamali protokół Signala lub znaleźli luki bezpieczeństwa w komunikatorach, gwarantujące dostęp do konta użytkownika. A co za tym idzie wysoki procent skutecznych ataków jest wynikiem skomplikowanych działań. Nic jednak bardziej mylnego. Cyberprzestępcy wykorzystują głównie socjotechnikę oraz dobre rozpoznanie celu. Rzadko korzystają z masowych ataków, skupiając się przede wszystkim na precyzyjnych działaniach.
Na liście potencjalnych celów znajdują się m.in:
Patrząc na charakter informacji oraz stanowiska zajmowane przez atakowane osoby, można się domyślać, że za działaniami nie stoją “przypadkowi cyberzbóje”, tylko profesjonalne grupy posiadający niezbędne siły i środki do realizacji tego typu operacji. Często grupy te działają pod wpływem inspiracji obcych służb specjalnych lub są przez nich bezpośrednio finansowani. A jeżeli dodamy, że cyberprzestępcy posługują się językiem rosyjskim to obraz sytuacji staje się coraz bardziej wyraźny.
Wszystkie poszlaki wskazują na działania realizowane przez rosyjskie służby specjalne, a mówiąc precyzyjnie grupy UNC5792 oraz UNC4221. Zgodnie z informacjami opublikowanymi przez FBI oraz CISA grupy te stanowią zaplecze cybernetyczne dla FSB (Federalnej Służby Bezpieczeństwa) oraz GRU (Wywiadu Wojskowego).
Temat stał się na tyle poważny, że rząd USA postanowił nagrodzić kwotą do 10 milionów dolarów każdego, kto udzieli informacji prowadzących do identyfikacji osób powiązanych z rosyjskimi grupami. Na pierwszy rzut oka nagroda może robić wrażenie. Jeżeli jednak weźmiemy pod uwagę sukcesy grup oraz charakter informacji, do których cyberprzestępcy zyskują dostęp, kwota nie powinna budzić emocji. Zwłaszcza, że chodzi o informacje o znaczeniu strategicznym.
Warto dodać, że w najnowszych odsłonach kampanii analitycy zaobserwowali próby wyłudzania kluczy odzyskiwania kopii zapasowej (Backup Recovery Keys). Posiadanie takich informacji w połączeniu z zaszyfrowanym plikiem bazy danych, pozwala cyberprzestępcom na odszyfrowanie i uzyskanie pełnego dostępu do archiwum historycznych konwersacji.
Biorąc pod uwagę liczbę aktywnych użytkowników komunikatorów Signal oraz WhatsApp, na działania cyberzbójów narażone są dziś miliony osób. Chociaż wykryte kampanie dotyczyły przede wszystkim osób zajmujących kluczowe stanowiska, niewykluczone że metody te zostaną zaadoptowane przez mniej zaawansowane grupy cyberprzestępcze oraz wykorzystane w atakach na masową skalę.
W tej sytuacji jedną ze skutecznych linii obrony jest świadomość faktu realizacji takich działań oraz krytyczne podejście do kwestii udostępniania wrażliwych danych (haseł, kodów PIN, czy kluczy bezpieczeństwa). Warto również regularnie monitorować listę podłączonych urządzeń w ustawieniach komunikatora. Jeżeli na liście pojawi się sprzęt, którego nie rozpoznajemy należy go jak najszybciej usunąć.
Źródło: ic3.gov, rewardsforjustice.net
~_secmike