Google ha desvelado las técnicas que Rusia está utilizando para vulnerar Signal: es la ciberguerra contra Ucrania
Los expertos de Google Threat Intelligence Group han detectado un incremento de la actividad de agentes alineados con el Gobierno ruso que tratan de acceder a cuentas de Signal Messenger. Esta aplicación de mensajería es especialmente segura y es utilizada por agencias de inteligencia y gubernamentales, pero también por periodistas y activistas. Y es especialmente importante en la Guerra de Ucrania, y Rusia lo sabe.
Explotación de dispositivos vinculados. Esta es la técnica más novedosa y más ampliamente utilizada entre los cibercriminales rusos para intentar acceder a cuentas de Signal. La aplicación permite usar Signal en varios dispositivos de forma concurrente, típicamente mediante códigos QR. Los cibercriminales crean códigos QR maliciosos que al ser escaneados vinculan la cuenta de la víctima a una instancia de Signal controlada por el agente.
Phishing. Los cibercriminales suelen utilizar técnicas de phishing, camuflando los activos maliciosos, por ejemplo en invitaciones a grupos de Signal. En algunos casos se llegaron a inrustar códigos QR maliciosos en páginas que parecían aplicaciones especializadas utilizadas por las víctimas.
Sandworm. Ese es el nombre en clavede la llamada Advanced Persistent Threat, APT44, un agente de ciberamenazas que varios gobiernos asocian con la inteligencia militar rusas. Este grupo, afirman en Google, ha puesto los medios para que tropas rusas desplegadas en el frente puedan vincular cuentas de Signal de dispositivos capturados en el campo de batalla a la infraestructura controlada por el agente para luego explotarlas.
Invitaciones modificadas a grupos. Los expertos de Google también han detectado cómo un presunto grupo de espionaje ruso denominado UNC5792 ha alterado páginas legítimas de invitaciones a grupos de Signal. Lo que hacen los cibercriminales en este caso es sustituir el cópdigo JavaScript que normalmente redirige al usuario por un bloque de código malicioso para vincular la cuenta de la víctima a un dispositivo controlado por el atacante.
Phishing en apps de artillería ucranianas. Hay además ataques específicamente dirigidos a las fuerzas ucranianas. En concreto, otro agente de amenazas llamado UNC4221 ha creado un kit de phishing que imita ciertos elementos de Kropyva, una aplicación de guiado de artillería que emplean las Fuerzas Armadas de Ucrania.
Rusia y Bielorrusia intentan robar mensajes de Signal. Se ha observado a distintos actores de amenazas regionales «bien conocidos y establecidos» intentar robar archivos de las bases de datos de Signal desde dispositivos Android y Windows. Los ciberataques proceden de agentes procedentes de Rusia y Bielorrusia, que suelen extraer esos archivos una vez logran acceso a cuentas comprometidas.
Cada vez más ataques a Signal. Según los responsables de Google, «existe una demanda clara y en crecimiento de cibercapacidades ofensivas, que puedan emplearse para vigilar comunicaciones sensibles de personas que utilizan aplicaciones de mensajería segura para proteger su actividad en línea». Estos expertos avisan de que los ataques suelen aprovechar «operaciones de acceso de proximidad en las que un agente consigue acceder brevemente a un dispositivo desbloqueado de un objetivo».
Pero también a Telegram y WhatsApp. Otro aspecto igualmente importante es que esta amenaza no se limita a Signal, sino que también se extiende a otras plataformas de mensajería muy utilizadas, como WhatsApp y Telegram, explican en Google. Un reciente post de Microsoft hablaba de un agente de amenazas ruso llamado Star Blizzard que precisamente aprovecha diversas técnicas para atacar las conversaciones de usuarios de WhatsApp.
Recomendaciones para protegerse. Los expertos de Google recomiendan tomar una serie de medidas para proteger sus cuentas de Signal. En primer lugar, activar el bloqueo de pantalla, además de instalar las actualizaciones del sistema operativo y las aplicaciones. Es también importante comprobar que está activado Google Play Protect y comprobar con regularidad qué dispositivos están vinculados a nuestra cuenta de Signal. Usar autenticación de dos factores y tener especial cuidado con los códigos QR que escaneamos son otras recomendaciones para tratar de estar a salvo de estos ciberataques.
Imagen | Signal | Ministry of Defense of Ukraine
