Германските агенции предупредуваат на фишинг преку Signal насочен кон политичари, војската и новинари

Германската Федерална канцеларија за заштита на уставниот поредок (Bundesamt für Verfassungsschutz – BfV) и Федералната канцеларија за информатичка безбедност (BSI) издадоа заедничко соопштение со предупредување за злонамерна кибер-кампања, најверојатно спроведена од државно поддржан актер, која вклучува фишинг напади преку апликацијата за пораки Signal.

„Фокусот е ставен на високи цели во политиката, војската и дипломатијата, како и на истражувачки новинари во Германија и Европа“, наведоа агенциите. „Неовластениот пристап до сметките на месинџерите не само што овозможува пристап до доверливи приватни комуникации, туку потенцијално ги компромитира и цели мрежи.“

Значаен аспект на кампањата е тоа што таа не вклучува дистрибуција на малициозен софтвер ниту искористување на безбедносна ранливост во платформата за пораки, која е ориентирана кон приватност. Наместо тоа, крајната цел е злоупотреба на нејзините легитимни функционалности за да се добие таен пристап до разговорите на жртвата, како и до нејзините листи со контакти.

Нападната шема е следна: напаѓачите се претставуваат како „Signal Support“ или како поддржувачки чат-бот наречен „Signal Security ChatBot“ и воспоставуваат директен контакт со потенцијалните цели, повикувајќи ги да достават PIN или верификациски код добиен преку СМС, со закана за губење на податоците.

Доколку жртвата се согласи, напаѓачите можат да ја регистрираат сметката и да добијат пристап до профилот, поставките, контактите и листата на блокирани корисници преку уред и мобилен број под нивна контрола. Иако украдениот PIN не овозможува пристап до претходните разговори на жртвата, напаѓачот може да го искористи за да ги пресретнува дојдовните пораки и да испраќа пораки претставувајќи се како жртвата.

Целниот корисник, кој во тој момент веќе го изгубил пристапот до својата сметка, потоа добива инструкции од напаѓачот, маскиран како поддржувачки чат-бот, да регистрира нова сметка.

Постои и алтернативна секвенца на компромитирање која ја користи опцијата за поврзување уреди, со што жртвите се измамуваат да скенираат QR-код, со што на напаѓачите им се дава пристап до сметката на жртвата – вклучително и до пораките од последните 45 дена – на уред управуван од нив.

Во овој случај, таргетираните лица продолжуваат да имаат пристап до својата сметка, без да бидат свесни дека нивните разговори и листи со контакти истовремено се изложени и на напаѓачите.

Безбедносните власти предупредија дека иако тековниот фокус на кампањата е Signal, нападот може да се прошири и на WhatsApp, бидејќи и таа апликација вклучува слични функции за поврзување уреди и PIN-заштита како дел од двофакторската верификација.

„Успешниот пристап до сметките на месинџерите не само што овозможува преглед на доверливи индивидуални комуникации, туку потенцијално ги компромитира и цели мрежи преку групни разговори“, соопштија BfV и BSI.

Иако не е познато кој стои зад активностите, слични напади биле организирани од повеќе закани поврзани со Русија, следени под имињата Star Blizzard, UNC5792 (позната и како UAC-0195) и UNC4221 (позната и како UAC-0185), според извештаи на Microsoft и Google Threat Intelligence Group од почетокот на минатата година.

Во декември 2025 година, Gen Digital детално опиша уште една кампања со кодно име GhostPairing, во која сајбер-криминалци ја користеле функцијата за поврзување уреди на WhatsApp за преземање контрола врз сметки, најверојатно за лажно претставување или извршување измами.

За заштита од оваа закана, на корисниците им се препорачува да не комуницираат со наводни поддржувачки сметки и да не го внесуваат својот Signal PIN преку текстуална порака. Клучна заштитна мерка е активирањето на „Registration Lock“, која спречува неовластени корисници да регистрираат телефонски број на друг уред. Исто така, се препорачува периодично да се проверува листата на поврзани уреди и да се отстранат сите непознати уреди.

Овој развој доаѓа во време кога норвешката влада ги обвини кинески поддржани хакерски групи, вклучувајќи ја и Salt Typhoon, за пробивање во повеќе организации во земјата преку искористување на ранливи мрежни уреди, а истовремено ја обвини Русија за внимателно следење на воени цели и активности на сојузниците, како и Иран за надзор над дисиденти.

Наведувајќи дека кинеските разузнавачки служби се обидуваат да регрутираат норвешки државјани за да добијат пристап до класифицирани податоци, Норвешката полициска служба за безбедност (PST) истакна дека овие извори потоа се охрабруваат да воспостават сопствени „мрежи на човечки извори“ преку огласување хонорарни работни позиции или преку директен пристап на LinkedIn.

Агенцијата дополнително предупреди дека Кина „систематски“ ги искористува заедничките истражувачко-развојни проекти за зајакнување на сопствените безбедносни и разузнавачки капацитети. Вреди да се напомене дека кинескиот закон бара софтверските ранливости откриени од кинески истражувачи да бидат пријавени до властите најдоцна два дена по нивното откривање.

„Иранските сајбер-заканувачки актери компромитираат е-пошта сметки, профили на социјални мрежи и приватни компјутери кои им припаѓаат на дисиденти, со цел да собираат информации за нив и нивните мрежи“, соопшти PST. „Овие актери располагаат со напредни способности и ќе продолжат да ги развиваат своите методи за спроведување сè понасочени и поинтрузивни операции против поединци во Норвешка.“

Овие обелоденувања следуваат и по предупредување од CERT Polska, која процени дека руска државна хакерска група наречена Static Tundra најверојатно стои зад координирани сајбер-напади насочени кон повеќе од 30 ветерни и фотоволтаични електрани, приватна компанија од производствениот сектор и голема комбинирана топлинска и електроцентрала (CHP) која обезбедува греење за речиси половина милион корисници во земјата.

„Во секој од погодените објекти беше присутен FortiGate уред, кој служеше и како VPN концентратор и како заштитен ѕид“, се наведува во соопштението. „Во секој случај, VPN-интерфејсот беше изложен на интернет и дозволуваше автентикација на сметки дефинирани во конфигурацијата без повеќефакторска автентикација.“

Извори:

• The Hacker News – German Agencies Warn of Signal Phishing Targeting Politicians, Military, Journalists The Hacker News