ドイツの情報機関および治安当局は、ヨーロッパ全域の軍関係者、外交官、調査報道ジャーナリストを標的とする高度なサイバー諜報キャンペーンに関して、最優先の警告を発出しました。
連邦憲法擁護庁(BfV)と連邦情報セキュリティ庁(BSI)は、攻撃者を、ソーシャルエンジニアリングを用いて暗号化メッセージングアプリSignalのアカウントを侵害する、国家支援の関与が疑われるアクターである可能性が高いと特定しました。
マルウェアやソフトウェアの脆弱性を利用する従来型のハッキングとは異なり、このキャンペーンはSignalアプリケーションの正規機能を悪用してアカウントを乗っ取ります。
当局は報告の中で、この作戦が政治および防衛分野の高価値標的に特に焦点を当て、諜報活動を行うとともに、信頼された通信ネットワークを混乱させる可能性があると述べています。
攻撃の技術的な内訳
この勧告では、脅威アクターが暗号化および認証の保護を回避するために用いた2つの異なる手法が説明されています。
亜種1:偽のサポートボット
1つ目の手法では、攻撃者は「Signal Security Support」または「Signal ChatBot」を名乗ります。標的に対して、ユーザーの端末でセキュリティ侵害またはデータ漏えいが発生したと主張するダイレクトメッセージを送信します。
メッセージは緊急性を煽り、データ損失を防ぐために直ちにアカウントを確認する必要があると警告します。その後、攻撃者はユーザーの6桁のセキュリティPIN、またはSMS認証コードの提供を求めます。
被害者がこのコードを共有すると、攻撃者は自分が管理する端末に被害者の電話番号を登録できます。これにより正規ユーザーはアカウントから締め出され、攻撃者はメッセージの送受信を含む完全な制御権を得ます。
亜種2:QRコードによる端末リンク
2つ目の手口は、攻撃者の端末をユーザー自身のアカウントにリンクさせるようユーザーを騙すものです。
攻撃者はもっともらしい口実で標的に連絡し、QRコードをスキャンするよう説得します。
ユーザーはログインの確認や機密文書へのアクセスを行っているつもりでも、実際には攻撃者の端末(タブレットなど)が自分のSignalアカウントと同期することを承認してしまいます。
リンクが完了すると、攻撃者は被害者のメッセージ履歴(直近45日分まで)と連絡先リストに継続的にアクセスできるようになります。
重要なのは、この方法では被害者がアクセスを失うことなく、スパイが新規の受信・送信メッセージをリアルタイムで読み取れるため、侵入の発見がはるかに困難になる点です。
影響と緩和策
セキュリティ当局は、侵害が成功した場合、個人だけでなくネットワーク全体が危険にさらされると警告しています。
攻撃者は機密性の高いチャット履歴を抽出し、連絡先の構造を把握し、グループチャットで被害者になりすまして偽情報を拡散することが可能です。
BSIは、リスクの高いユーザー全員に対し、Signalの設定で「リンク済みの端末」一覧を直ちに確認し、認識できない接続を削除するよう助言しています。
さらに、ユーザーは「登録ロック」機能を有効にすべきです。これは電話番号を再登録する際にPINを要求するもので、SMSコードが傍受された場合でもアカウント乗っ取りを防ぎます。
当局は、正規のSignalサポートがダイレクトメッセージでPINや認証コードを尋ねることは決してないと強調しました。
翻訳元: https://gbhackers.com/state-backed-hackers-target-military-officials-and-journalists/
