Agentes de amenazas vinculados a Rusia atacan activamente Signal Messenger

Google Cloud Threat Intelligence Group ha detectado un aumento significativo en la actividad de agentes de amenazas alineados con el Gobierno ruso, que buscan comprometer cuentas de Signal Messenger utilizadas por objetivos estratégicos, como militares, políticos, periodistas y activistas. Estas tácticas, que inicialmente han estado dirigidas a objetivos en el conflicto entre Rusia y Ucrania, podrían extenderse a otras regiones y actores malintencionados en el corto plazo.

La aplicación Signal, reconocida por sus altos estándares de seguridad y privacidad, se ha convertido en un objetivo prioritario para grupos de espionaje que buscan interceptar información sensible. Según la investigación de Google Cloud, los ataques se han centrado en la explotación de la función de “dispositivos vinculados”, un mecanismo legítimo de la aplicación que permite a los usuarios conectar su cuenta en varios dispositivos.

Métodos de ataque identificados

Desde Google Cloud Security alertan sobre que los grupos de ciberamenazas han desarrollado varias estrategias para comprometer cuentas de Signal sin necesidad de acceder físicamente al dispositivo:

• Phishing con códigos QR maliciosos: Los atacantes crean códigos QR fraudulentos que, al ser escaneados, vinculan la cuenta de la víctima a una instancia de Signal controlada por los atacantes mediante un agente, permitiéndoles acceder a todos los mensajes en tiempo real y creando un canal de escucha persistente de las conversaciones de la víctima sin comprometer el dispositivo.
• Invitaciones falsas a grupos de Signal: La amenaza conocida como UNC5792 ha alterado páginas legítimas de invitaciones a grupos en Signal, redirigiendo a los usuarios a enlaces maliciosos que les vinculan a dispositivos controlados por los agentes de los atacantes.
• Ataques a aplicaciones de comunicación militar: el agente UNC4221 ha utilizado kits de phishing específicamente diseñados para imitar la interfaz de Kropyva, una aplicación de guiado de artillería utilizada por las fuerzas ucranianas, con el fin de engañar a los usuarios y comprometer sus cuentas de Signal por parte de agente de amenzas vinculadas a Rusia.
• Exfiltración de datos en Windows y Android: APT44 y otros grupos han desarrollado scripts para extraer bases de datos de Signal de dispositivos Android y ordenadores con Windows, utilizando herramientas como WAVESIGN y Robocopy para copiar mensajes de Signal sin ser detectados.

Implicaciones para las plataformas de mensajeria

El creciente número de ciberataques dirigidos a aplicaciones de mensajería cifrada como Signal refleja la evolución del panorama de amenazas global y las tácticas cada vez más sofisticadas empleadas por los actores vinculados a Estados-nación. Estos ataques no solo ponen en riesgo la privacidad y seguridad de los usuarios individuales, sino que también generan implicaciones significativas para organizaciones gubernamentales, medios de comunicación y activistas, quienes dependen de estas plataformas para la protección de sus comunicaciones.

A medida que los actores de amenazas estatales intensifican sus esfuerzos para comprometer servicios críticos de mensajería segura, se hace cada vez más evidente la necesidad de reforzar las estrategias de ciberseguridad con tecnologías avanzadas, inteligencia de amenazas en tiempo real y medidas de seguridad adaptativas que prevengan la explotación de vulnerabilidades antes de que puedan ser utilizadas con fines maliciosos.

Recomendaciones de seguridad

Google Cloud recomienda a los usuarios de Signal y otras aplicaciones de mensajería segura tomar las siguientes precauciones para protegerse contra estos ataques:

• Actualizar la aplicación a la versión más reciente: Las últimas versiones de Signal han implementado mejoras de seguridad para prevenir ataques basados en la vinculación de dispositivos.
• Revisar los dispositivos vinculados regularmente: Comprobar en los ajustes de la aplicación que no haya dispositivos desconocidos con acceso a la cuenta.
• Activar la autenticación de dos factores (2FA): Utilizar medidas adicionales de seguridad como códigos de acceso para evitar el acceso no autorizado.
• No escanear códigos QR sospechosos: Evitar escanear códigos QR enviados por terceros o enlaces que prometen unir a grupos en Signal sin verificar su autenticidad.
• Habilitar bloqueo de pantalla con contraseñas seguras: Usar claves alfanuméricas en dispositivos móviles y activar medidas de seguridad adicionales en sistemas operativos.

Urge fortalecer las defensas

La creciente actividad de ciberamenazas vinculadas a Rusia contra usuarios de Signal y otras aplicaciones de mensajería segura destaca la urgencia de fortalecer las defensas en el ecosistema digital. La combinación de ataques de phishing sofisticados y tácticas de espionaje dirigidas pone de manifiesto la necesidad de una vigilancia constante por parte de individuos y organizaciones.

Para conocer más detalles sobre estos ataques y las medidas de protección recomendadas, Google Cloud ha puesto a disposición un informe técnico con indicadores de compromiso y técnicas empleadas por los atacantes.