Bedreigingsactoren verbonden aan de Russische inlichtingendiensten voeren phishing-campagnes om commerciële berichtentoepassingen (CMA’s) zoals WhatsApp en Signal in gevaar te brengen en zo de controle te grijpen over accounts van personen met een hoge inlichtingenwaarde, zeiden de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en het Federal Bureau of Investigation (FBI) vrijdag.
“De campagne richt zich op personen met een hoge inlichtingenwaarde, waaronder huidige en voormalige Amerikaanse overheidsfunctionarissen, militair personeel, politieke figuren en journalisten”, zei FBI-directeur Kash Patel in een bericht op X. “Wereldwijd heeft deze inspanning geresulteerd in ongeoorloofde toegang tot duizenden individuele accounts. Nadat ze toegang hebben verkregen, kunnen de actoren berichten en contactlijsten bekijken, berichten verzenden als slachtoffer en aanvullende phishing uitvoeren vanaf een vertrouwde identiteit.”
CISA en de FBI zeiden dat de activiteit heeft geresulteerd in het compromitteren van duizenden individuele CMA-accounts. Het is de moeite waard om op te merken dat de aanvallen bedoeld zijn om in te breken in de beoogde accounts en geen misbruik maken van enige beveiligingskwetsbaarheid of zwakte om de encryptiebescherming van de platforms te kraken.
Hoewel de agentschappen de activiteit niet aan een specifieke bedreigingsacteur hebben toegeschreven, hebben eerdere rapporten van Microsoft en Google Threat Intelligence Group dergelijke campagnes gekoppeld aan meerdere op Rusland gerichte dreigingsclusters, gevolgd als Star Blizzard, UNC5792 (ook bekend als UAC-0195) en UNC4221 (ook bekend als UAC-0185).
In een soortgelijke waarschuwing waarschuwde het Cyber Crisis Coördinatiecentrum (C4), onderdeel van het Nationale Cybersecurity Agentschap van Frankrijk (ANSSI), voor een golf van aanvalscampagnes gericht op instant messaging-accounts die verband houden met overheidsfunctionarissen, journalisten en bedrijfsleiders.
“Als deze aanvallen succesvol zijn, kunnen kwaadwillende actoren toegang krijgen tot de gespreksgeschiedenis, of zelfs de controle over de berichtenaccounts van hun slachtoffers overnemen en berichten verzenden terwijl ze zich voordoen als deze”, aldus C4.
Het uiteindelijke doel van de campagne is om de dreigingsactoren in staat te stellen ongeautoriseerde toegang te krijgen tot de accounts van de slachtoffers, waardoor ze berichten en contactlijsten kunnen bekijken, namens hen berichten kunnen verzenden en zelfs secundaire phishing tegen andere doelen kunnen uitvoeren door misbruik te maken van vertrouwde relaties.
Zoals onlangs gewaarschuwd door cyberveiligheidsdiensten uit Duitsland en Nederland, houdt de aanval in dat de tegenstander zich voordoet als ‘Signal Support’ om doelen te benaderen en hen aan te sporen op een link te klikken (of als alternatief een QR-code te scannen) of de pincode of verificatiecode op te geven. In beide gevallen biedt het social engineering-programma de dreigingsactoren de mogelijkheid toegang te krijgen tot het CMA-account van het slachtoffer.
De campagne heeft echter twee verschillende uitkomsten voor het slachtoffer, afhankelijk van de gebruikte methode:
- Als het slachtoffer ervoor kiest om de pincode of verificatiecode aan de bedreigingsacteur te verstrekken, verliest hij de toegang tot zijn account, omdat de aanvaller deze heeft gebruikt om het account aan zijn kant te herstellen. Hoewel de bedreigingsacteur geen toegang heeft tot eerdere berichten, kan de methode worden gebruikt om nieuwe berichten te controleren en berichten naar anderen te sturen door zich voor te doen als het slachtoffer.
- Als het slachtoffer uiteindelijk op de link klikt of de QR-code scant, wordt een apparaat onder controle van de dader gekoppeld aan het account van het slachtoffer, waardoor deze toegang krijgt tot alle berichten, inclusief de berichten die in het verleden zijn verzonden. In dit scenario blijft het slachtoffer toegang houden tot het CMA-account, tenzij deze expliciet uit de app-instellingen wordt verwijderd.
Om zich beter tegen de dreiging te beschermen, wordt gebruikers geadviseerd om nooit hun sms-code of verificatiepincode met iemand te delen, voorzichtig te zijn bij het ontvangen van onverwachte berichten van onbekende contacten, links te controleren voordat ze erop klikken, en regelmatig gekoppelde apparaten te bekijken en verdachte apparaten te verwijderen.
“Deze aanvallen zijn, net als alle phishing, afhankelijk van social engineering. Aanvallers imiteren vertrouwde contacten of diensten (zoals de niet-bestaande ‘Signal Support Bot’) om slachtoffers te misleiden zodat ze hun inloggegevens of andere informatie overhandigen”, zei Signal eerder deze maand in een bericht op X.
“Om dit te helpen voorkomen, moet je onthouden dat je Signal-sms-verificatiecode alleen nodig is wanneer je je voor de eerste keer aanmeldt voor de Signal-app. We willen ook benadrukken dat Signal Support *nooit* contact zal initiëren via in-app-berichten, sms of sociale media om je verificatiecode of pincode te vragen. Als iemand om een Signal-gerelateerde code vraagt, is dat oplichterij.”
