No início deste ano, Donncha Ó Cearbhaill, um investigador de segurança que investiga ataques de spyware, encontrou-se numa posição invulgar. Pela primeira vez, ele se tornou alvo de hackers.
“Caro usuário, aqui é o Signal Security Support ChatBot. Notamos atividades suspeitas em seu dispositivo, o que pode ter levado ao vazamento de dados”, dizia uma mensagem que ele recebeu em sua conta Signal.
“Também detectamos tentativas de obter acesso aos seus dados privados no Signal”, afirmava a mensagem.
“Para evitar isso, você deve passar pelo procedimento de verificação, inserindo o código de verificação no Signal Security Support Chatbot. NÃO DIGA O CÓDIGO A NINGUÉM, NEM MESMO AOS FUNCIONÁRIOS DO SINAL.”
Obviamente, Ó Cearbhaill, que dirige o Laboratório de Segurança da Amnistia Internacional, reconheceu imediatamente que esta foi uma tentativa “insensata” de hackear a sua conta Signal. Em vez disso, ele pensou que seria uma boa oportunidade para iniciar uma investigação inesperada.
O pesquisador disse ao TechCrunch que até então ele “nunca havia sido alvo de um ataque intencional”. ataque cibernético com um clique ou uma tentativa de phishing como esta antes.
“Ter o ataque chegando à minha caixa de entrada e a chance de virar o jogo contra os atacantes e entender mais sobre a campanha era bom demais para ser desperdiçado”, disse ele.
No final das contas, a tentativa de ataque a Ó Cearbhaill provavelmente fez parte de uma campanha de hackers mais ampla visando um grande grupo de usuários do Signal. As estratégias dos hackers consistiam em se passar por Signal, alertar sobre falsas ameaças à segurança e tentar enganar os alvos para que dessem aos hackers acesso às suas contas, vinculando-as a um dispositivo controlado pelos hackers.
Essas técnicas eram exatamente as mesmas vistas em uma campanha mais ampla que o Agência de segurança cibernética dos EUA CISAo Agência de segurança cibernética do Reino Unidoe Inteligência holandesatodos alertaram sobre os ataques e atribuíram a culpa aos espiões do governo russo. O sinal também tem alertado sobre ataques de phishing visando seus usuários. Revista de notícias alemã Der Spiegel encontrado que os hackers russos conseguiram comprometer várias pessoas dentro do país, incluindo políticos de alto nível.
Ó Ceará disse em uma série de postagens online que ele foi capaz de descobrir que era um dos mais de 13.500 alvos. Ele se recusou a revelar exatamente como investigou a tentativa de hacking e a campanha para evitar revelar sua mão aos hackers, mas compartilhou alguns detalhes sobre o que descobriu.
Primeiro, percebeu que outros alvos incluíam jornalistas com quem tinha trabalhado, bem como um colega. Nessa altura, Ó Cearbhaill disse já suspeitar que se tratava de um ataque oportunista em que hackers comprometeram alvos e identificaram novas vítimas potenciais, graças a esses ataques bem-sucedidos.
Ó Cearbhaill chamou isso de “hipótese de bola de neve” e disse estar convencido de que se tornou um alvo porque provavelmente estava em um bate-papo em grupo com alguém que foi hackeado, o que deu aos hackers a chance de encontrar as informações de contato de novos alvos.
O pesquisador disse que foi capaz de identificar o sistema que os hackers estavam usando, chamado “ApocalypseZ”, que automatiza o ataque, permitindo que os hackers atingissem muitas pessoas ao mesmo tempo em massa, com supervisão humana limitada.
Ele também descobriu que a base de código e a interface do operador estão em russo, e os hackers estavam traduzindo os bate-papos das vítimas para o russo, o que se alinha com a hipótese de que este era o mesmo grupo de hackers do governo russo por trás de campanhas semelhantes.
Ó Cearbhaill disse que ainda está a monitorizar a campanha e tem visto os ataques continuarem, o que significa que o número total de alvos é certamente muito superior ao número que viu no início deste ano.
Ele disse que duvida que os hackers irão atrás dele novamente e provavelmente se arrependerá de ter feito isso em primeiro lugar. Ele disse: “Congratulo-me com mensagens futuras, especialmente se tiverem dias zero que gostariam de compartilhar”, referindo-se a falhas de segurança que ainda não são do conhecimento do fornecedor, que são frequentemente utilizados em ataques que ele investiga.
Ó Cearbhaill disse que se os usuários do Signal estão preocupados em serem alvos desse tipo de ataque, eles deveriam ligar Bloqueio de registroum recurso que permite aos usuários definir um PIN para sua conta que impede que outras pessoas registrem seu número de telefone em um dispositivo diferente.
Quando você compra por meio de links em nossos artigos, podemos ganhar uma pequena comissão. Isso não afeta nossa independência editorial.
