كشف محقق في برامج التجسس عن قراصنة تابعين للحكومة الروسية يحاولون اختطاف حسابات سيجنال

في وقت سابق من هذا العام، وجد دونشا أو سيربهيل، الباحث الأمني ​​الذي يحقق في هجمات برامج التجسس، نفسه في موقف غير عادي. لمرة واحدة، أصبح هدفا للقراصنة.

“عزيزي المستخدم، هذا هو ChatBot لدعم Signal Security. لقد لاحظنا نشاطًا مشبوهًا على جهازك، مما قد يؤدي إلى تسرب البيانات،” قرأ رسالة تلقاها على حساب Signal الخاص به.

وزعمت الرسالة: “لقد اكتشفنا أيضًا محاولات للوصول إلى بياناتك الخاصة في تطبيق Signal”.

“لمنع ذلك، يتعين عليك اجتياز إجراء التحقق، وإدخال رمز التحقق في Chatbot لدعم Signal Security. لا تخبر أي شخص بالرمز، ولا حتى موظفي الإشارة.”

ومن الواضح أن أو كيربهيل، الذي يرأس مختبر الأمن التابع لمنظمة العفو الدولية، أدرك على الفور أن هذه كانت محاولة “غير حكيمة” لاختراق حساب سيجنال الخاص به. بدلاً من ذلك، اعتقد أنها ستكون فرصة جيدة للقفز إلى تحقيق غير متوقع.

أخبر الباحث موقع TechCrunch أنه حتى ذلك الحين، لم يتم استهدافه “عن قصد” بهجوم إلكتروني بنقرة واحدة أو محاولة تصيد مثل هذه من قبل.

وقال: “إن وصول الهجوم إلى بريدي الإلكتروني، وفرصة قلب الطاولة على المهاجمين وفهم المزيد عن الحملة، كان أمرًا جيدًا للغاية بحيث لا يمكن تفويته”.

وكما تبين، من المحتمل أن تكون محاولة الهجوم على Ó Cearbhaill جزءًا من حملة قرصنة أوسع نطاقًا تستهدف مجموعة كبيرة من مستخدمي Signal. كانت استراتيجيات المتسللين تتمثل في انتحال شخصية Signal، والتحذير من التهديدات الأمنية الزائفة، ومحاولة خداع الأهداف لمنح المتسللين إمكانية الوصول إلى حساباتهم من خلال ربطه بجهاز يتحكم فيه المتسللون.

وكانت هذه التقنيات مماثلة تمامًا لتلك التي شوهدت في حملة أوسع نطاقاً حذرت فيها وكالة الأمن السيبراني الأمريكية CISA، ووكالة الأمن السيبراني في المملكة المتحدة، والمخابرات الهولندية، من الهجمات، وألقت باللوم على جواسيس الحكومة الروسية. وحذرت شركة Signal أيضًا من هجمات التصيد الاحتيالي التي تستهدف مستخدميها. ووجدت مجلة دير شبيجل الإخبارية الألمانية أن المتسللين الروس تمكنوا من اختراق العديد من الأشخاص داخل البلاد، بما في ذلك سياسيون بارزون.

Ó قال كيربهيل في سلسلة من المنشورات عبر الإنترنت إنه كان قادرًا على اكتشاف أنه كان واحدًا من بين أكثر من 13500 هدف. ورفض الكشف بالضبط عن كيفية تحقيقه في محاولة القرصنة والحملة لتجنب الكشف عن يده للمتسللين، لكنه شارك بعض التفاصيل حول ما تعلمه.

أولاً، أدرك أن الأهداف الأخرى تشمل الصحفيين الذين عمل معهم، بالإضافة إلى زميل له. في تلك المرحلة، قال Ó Cearbhaill إنه يشتبه بالفعل في أن هذا كان هجومًا انتهازيًا حيث قام المتسللون باختراق الأهداف وتحديد ضحايا محتملين جدد، وذلك بفضل تلك الهجمات الناجحة.

Ó وصفها سيربهيل بأنها “فرضية كرة الثلج”، وقال إنه مقتنع بأنه أصبح هدفًا لأنه كان على الأرجح في محادثة جماعية مع شخص تم اختراقه، مما أعطى المتسللين فرصة للعثور على معلومات الاتصال الخاصة بأهداف جديدة.

وقال الباحث إنه تمكن من تحديد النظام الذي كان يستخدمه المتسللون، والذي يسمى “ApocalypseZ”، والذي يقوم بأتمتة الهجوم، مما يسمح للمتسللين باستهداف العديد من الأشخاص في نفس الوقت بكميات كبيرة مع إشراف بشري محدود.

ووجد أيضًا أن قاعدة التعليمات البرمجية وواجهة المشغل باللغة الروسية، وكان المتسللون يترجمون محادثات الضحايا إلى اللغة الروسية، وهو ما يتوافق مع الفرضية القائلة بأن هذه هي نفس مجموعة القرصنة التابعة للحكومة الروسية التي تقف وراء حملات مماثلة.

Ó قال كيربهيل إنه لا يزال يراقب الحملة، وشهد استمرار الهجمات، مما يعني أن العدد الإجمالي للأهداف هو بالتأكيد أعلى بكثير من العدد الذي رآه في وقت سابق من هذا العام.

وقال إنه يشك في أن المتسللين سيلاحقونه مرة أخرى، وربما يندمون على ملاحقته في المقام الأول. وقال: “أرحب بالرسائل المستقبلية، خاصة إذا كانت بها أيام صفرية يرغبون في مشاركتها”، في إشارة إلى الثغرات الأمنية التي لم يعرفها البائع بعد، والتي غالبًا ما تستخدم في الهجمات التي يحقق فيها.

Ó قال Cearbhaill إنه إذا كان مستخدمو Signal قلقين بشأن استهدافهم بهذا النوع من الهجمات، فيجب عليهم تشغيل قفل التسجيل، وهي ميزة تتيح للمستخدمين تعيين رقم PIN لحسابهم والذي يمنع الآخرين من تسجيل أرقام هواتفهم على جهاز مختلف.