A principios de este año, Donncha Ó Cearbhaill, un investigador de seguridad que investigaba ataques de software espía, se encontró en una posición inusual. Sólo una vez se convirtió en el objetivo de un hacker.
El mensaje que recibí en mi cuenta de Signal decía: «Estimado usuario, este es el chatbot de soporte de seguridad de Signal. Hemos detectado actividad sospechosa en su dispositivo que puede provocar una violación de datos».
«También detectamos un intento de acceder a sus datos personales en Signal», dice el mensaje.
«Para evitar esto, debe ingresar el código de verificación en el chatbot de soporte de Signal Security y pasar el paso de verificación. No le dé el código a nadie, ni siquiera a los empleados de SIGNAL».
Al parecer, el director del Laboratorio de Seguridad de Amnistía Internacional, Ó Cairbeil, se dio cuenta rápidamente de que se trataba de un intento «imprudente» de piratear su cuenta de Signal. Más bien, lo vi como una oportunidad para sumergirme en una investigación inesperada.
Los investigadores dijeron a TechCrunch que «nunca antes habían sido atacados intencionalmente» por un ciberataque con un solo clic o un ataque de phishing como este.
«El ataque llegó a mi bandeja de entrada y la oportunidad de darle la vuelta a los atacantes y aprender más sobre la campaña era demasiado buena para dejarla pasar», dijo.
Resulta que el intento de ataque a Ó Cearbhaill puede haber sido parte de una campaña de piratería más amplia dirigida a un gran grupo de usuarios de Signal. La estrategia de los piratas informáticos era hacerse pasar por Signal, advertir sobre amenazas de seguridad falsas e intentar engañar a los objetivos para que dieran acceso a sus cuentas a los piratas informáticos vinculando sus cuentas a dispositivos controlados por los piratas informáticos.
Estas técnicas fueron exactamente las mismas que las observadas en una campaña más amplia sobre la cual la agencia de ciberseguridad estadounidense CISA, la agencia de ciberseguridad británica y la comunidad de inteligencia holandesa han advertido y culpado a los espías del gobierno ruso. Signal también advierte a los usuarios sobre ataques de phishing. La revista de noticias alemana Der Spiegel descubrió que los piratas informáticos rusos pudieron comprometer a varias personas en el país, incluidos políticos destacados.
En una serie de publicaciones en línea, Ó Cairbeil dijo que pudo identificarse como uno de los más de 13.500 objetivos. Aunque no reveló exactamente cómo investigó los intentos de piratería y las campañas para evitar revelar su mano a los piratas informáticos, sí compartió algunos detalles sobre lo que aprendió.
En primer lugar, Ó Cairbeil reconoció que otros objetivos incluían no sólo a colegas sino también a periodistas con los que trabajaba. Dijo que ya sospechaba en ese momento que se trataba de un ataque oportunista en el que los piratas informáticos habían comprometido un objetivo y, gracias al ataque exitoso, identificaron nuevas víctimas potenciales.
Al llamar a esto la «hipótesis de la bola de nieve», Ó Caerbeil dijo que creía que había sido atacado porque probablemente estaba en un chat grupal con la persona que fue pirateada, dándole al hacker la oportunidad de encontrar información de contacto para un nuevo objetivo.
Los investigadores dijeron que pudieron identificar un sistema llamado «ApocalypseZ» que estaban utilizando los piratas informáticos. El sistema automatiza los ataques y permite a los piratas informáticos atacar a muchas personas a la vez, con supervisión humana limitada.
consulta
¿Tienes más información sobre el ataque a los usuarios de Signal? ¿O es otro ataque dirigido? Puede contactar a Lorenzo Franceschi-Bicchierai de forma segura desde un dispositivo que no sea del trabajo en Signal (+1 917 257 1382) o en Telegram y Keybase @lorenzofb o por correo electrónico.
También descubrieron que el código base y la interfaz del operador estaban en ruso, y que los piratas informáticos habían traducido los chats de las víctimas al ruso. Esto es consistente con la hipótesis de que se trata del mismo grupo de piratería del gobierno ruso detrás de campañas similares.
Ó Cairbeil dijo que todavía estaba monitoreando la campaña y que veía que los ataques continuaban, lo que significaba que el número total de objetivos era ciertamente mucho mayor de lo que vio a principios de este año.
Dijo que duda que el hacker vuelva a atacarlo y probablemente se arrepienta de haberlo perseguido en primer lugar. «Agradecemos cualquier mensaje adicional, especialmente si tiene días cero que le gustaría compartir», dijo, refiriéndose a las fallas de seguridad que los proveedores aún no conocen y que a menudo se utilizan en los ataques que investiga.
Carebeil dijo que los usuarios de Signal deberían activar el bloqueo de registro si les preocupa ser blanco de este tipo de ataque. El bloqueo de registro es una función que permite a los usuarios establecer un PIN en su cuenta para evitar que alguien registre su número de teléfono en otro dispositivo.
Si compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta la independencia editorial.
Source link
