IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

De multiples acteurs de la menace alignés sur la Russie ciblent activement Signal Messenger


Sujet :

Sécurité

  1. 20/02/2025, 21h23 #1
    Jade Emy
    Jade Emy est déconnecté
    Communiqués de presse
    Femme Profil pro
    Traductrice Technique
    Inscrit en
    Juin 2023
    Messages
    1 988
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations professionnelles :
    Activité : Traductrice Technique

    Informations forums :
    Inscription : Juin 2023
    Messages : 1 988
    Par défaut De multiples acteurs de la menace alignés sur la Russie ciblent activement Signal Messenger
    Des acteurs de la menace alignés à la Russie ciblent activement Signal Messenger, afin de compromettre les personnes présentant un intérêt pour les services de renseignement russes, d'après Google GTIG.

    De nombreux groupes de menace proches de la Russie ciblent activement l'application Signal Messenger de personnes susceptibles d'échanger des communications militaires et gouvernementales sensibles en rapport avec la guerre qui oppose le pays à l'Ukraine. Pour l'instant, cette activité semble limitée aux personnes présentant un intérêt pour les services de renseignement russes, selon les chercheurs du Threat Intelligence Group (GTIG) de Google, qui l'ont repérée récemment. Mais les tactiques utilisées par les acteurs de la menace dans le cadre de cette campagne pourraient bien servir de modèle à d'autres groupes pour mener des attaques plus vastes contre Signal, WhatsApp, Telegram et d'autres applications de messagerie populaires.

    Un récent rapport révèle que de multiples acteurs de la menace alignés à la Russie ont été observés en train de cibler des personnes d'intérêt via l'application de messagerie confidentielle Signal afin d'obtenir un accès non autorisé à leurs comptes. La technique la plus novatrice et la plus largement utilisée pour compromettre les comptes Signal est l'utilisation abusive de la fonction légitime "appareils liés" de l'application, qui permet d'utiliser Signal sur plusieurs appareils en même temps, selon le rapport du Google Threat Intelligence Group (GTIG).

    Pour rappel, Signal est une application de messagerie assez populaire. Rien qu'en 2021, l'application de messagerie Signal a connu une augmentation de 1 192 % de ses téléchargements pour atteindre 64,4 millions au cours des quatre premiers mois de 2021. La plateforme se vante notamment d'offrir un chiffrement de bout en bout sur les chats avec d'autres fonctionnalités conviviales.

    Dans les attaques repérées par les équipes de renseignement sur les menaces de Google, les acteurs de la menace, dont l'un est identifié comme UNC5792, ont eu recours à des codes QR malveillants qui, lorsqu'ils sont scannés, lient le compte d'une victime à une instance de Signal contrôlée par l'acteur. Ainsi, les futurs messages sont transmis de manière synchrone à la victime et à l'acteur de la menace en temps réel, ce qui permet aux acteurs de la menace d'écouter les conversations de la victime de manière persistante.

    Ces codes QR sont connus pour se faire passer pour des invitations de groupe, des alertes de sécurité ou des instructions légitimes de couplage d'appareils provenant du site web Signal. Par ailleurs, les codes QR malveillants de couplage d'appareils ont été intégrés dans des pages d'hameçonnage censées être des applications spécialisées utilisées par l'armée ukrainienne.

    Même si la sécurité de Signal semble attirée des millions d'utilisateurs, la société a admis qu'elle a besoin de beaucoup d'argent pour faire fonctionner l'application. En novembre 2023, Signal a affirmé qu'elle avait besoin d'environ 50 millions de dollars par an jusqu'en 2025 pour garantir la sécurité de sa messagerie ainsi que la vie privé des utilisateurs. Il serait donc intéressant de savoir si cette faille de sécurité a un rapport avec la situation financière de Signal.

    Nom : 1.jpg Affichages : 3267 Taille : 30,5 Ko
    Une page d'hameçonnage conçue pour ressembler à une alerte de sécurité de Signal

    Voici un extrait du rapport de Google :

    Des acteurs de la menace alignés à la Russie ciblent activement Signal Messenger

    Le Google Threat Intelligence Group (GTIG) a constaté que plusieurs acteurs de la menace alignés à l'État russe s'efforçaient de compromettre les comptes Signal Messenger utilisés par des personnes présentant un intérêt pour les services de renseignement russes. Bien que cet intérêt opérationnel émergent ait probablement été suscité par des demandes d'accès à des communications gouvernementales et militaires sensibles en temps de guerre dans le contexte de la ré-invasion de l'Ukraine par la Russie, l'équipe de Google prévoit que les tactiques et méthodes utilisées pour cibler Signal deviendront de plus en plus courantes à court terme et proliféreront vers d'autres acteurs de la menace et d'autres régions en dehors du théâtre de guerre ukrainien.

    La popularité de Signal parmi les cibles habituelles des activités de surveillance et d'espionnage - telles que le personnel militaire, les politiciens, les journalistes, les activistes et d'autres communautés à risque - a fait de l'application de messagerie sécurisée une cible de grande valeur pour les adversaires qui cherchent à intercepter des informations sensibles susceptibles de répondre à toute une série d'exigences différentes en matière de renseignement.

    D'une manière plus générale, cette menace s'étend également à d'autres applications de messagerie populaires telles que WhatsApp et Telegram, qui sont également activement ciblées par des groupes de menace alignés sur la Russie et utilisant des techniques similaires. En prévision d'une adoption plus large de techniques similaires par d'autres acteurs de la menace, le GTIG a publié un avertissement public concernant les tactiques et les méthodes utilisées à ce jour afin de sensibiliser le public et d'aider les communautés à mieux se prémunir contre des menaces similaires.

    Campagnes de phishing utilisant la fonction « Linked Devices » de Signal

    La technique la plus novatrice et la plus largement utilisée pour compromettre les comptes Signal est l'utilisation abusive de la fonction légitime "appareils liés" (Linked Devices) de l'application, qui permet d'utiliser Signal sur plusieurs appareils en même temps. Comme la liaison d'un appareil supplémentaire nécessite généralement la numérisation d'un code de réponse rapide (QR), les acteurs de la menace ont eu recours à la création de codes QR malveillants qui, lorsqu'ils sont numérisés, lient le compte d'une victime à une instance de Signal contrôlée par l'acteur. En cas de succès, les futurs messages seront transmis de manière synchrone à la victime et à l'acteur de la menace en temps réel, ce qui constitue un moyen permanent d'écouter les conversations sécurisées de la victime sans qu'il soit nécessaire de compromettre l'ensemble de l'appareil.

    • Dans les opérations d'hameçonnage à distance observées à ce jour, les codes QR malveillants ont souvent été maquillés en ressources Signal légitimes, telles que des invitations à des groupes, des alertes de sécurité ou des instructions légitimes d'appairage d'appareils à partir du site Web de Signal.

    • Dans le cadre d'opérations d'hameçonnage à distance plus ciblées, des codes QR malveillants ont été intégrés dans des pages d'hameçonnage conçues pour ressembler à des applications spécialisées utilisées par l'armée ukrainienne.

    • Au-delà des opérations d'hameçonnage à distance et de diffusion de logiciels malveillants, le GTIG a également constaté que des codes QR malveillants étaient utilisés dans le cadre d'opérations d'accès rapproché. APT44 (alias Sandworm ou Seashell Blizzard, un acteur de la menace attribué par plusieurs gouvernements au Centre principal des technologies spéciales (GTsST) au sein de la Direction principale de l'état-major général des forces armées de la Fédération de Russie (GU), communément appelé GRU) s'est efforcé de permettre aux forces militaires russes déployées à l'avant de relier les comptes Signal des appareils capturés sur le champ de bataille à l'infrastructure contrôlée par l'acteur en vue d'une exploitation ultérieure.

    Ce concept d'opérations de liaison de dispositifs s'est avéré être une forme d'accès initial à faible signature en raison de l'absence de détections et de défenses technologiques centralisées pouvant être utilisées pour surveiller la compromission de comptes par le biais de dispositifs nouvellement reliés ; en cas de succès, il existe un risque élevé qu'une compromission puisse passer inaperçue pendant de longues périodes.

    UNC5792 : Invitations de groupe Signal modifiées

    Pour compromettre les comptes Signal à l'aide de la fonction de liaison d'appareils, un groupe d'espionnage russe présumé, répertorié sous le nom de UNC5792 (qui recoupe partiellement l'UAC-0195 du CERT-UA), a modifié des pages légitimes d'"invitation de groupe" pour les diffuser dans des campagnes de phishing, en remplaçant la redirection prévue vers un groupe Signal par une redirection vers une URL malveillante conçue pour lier un appareil contrôlé par l'acteur au compte Signal de la victime.

    Dans le cadre de ces opérations, UNC5792 a hébergé des invitations de groupe Signal modifiées sur une infrastructure contrôlée par l'acteur, conçues pour sembler identiques à une invitation de groupe Signal légitime.

    Dans chacune des fausses invitations, le code JavaScript qui redirige généralement l'utilisateur vers un groupe Signal a été remplacé par un bloc malveillant contenant l'identifiant de ressource uniforme (URI) utilisé par Signal pour relier un nouvel appareil à Signal (c'est-à-dire « sgnl://linkdevice?uuid= »), ce qui incite les victimes à relier leurs comptes Signal à un appareil contrôlé par l'UNC5792.

    Nom : 2.jpg Affichages : 509 Taille : 18,9 Ko
    Exemple

    UNC4221 : Kit d'hameçonnage Signal développé sur mesure

    UNC4221 (suivi par CERT-UA sous le nom de UAC-0185) est un autre acteur de menace lié à la Russie qui a activement ciblé les comptes Signal utilisés par le personnel militaire ukrainien. Le groupe utilise un kit d'hameçonnage Signal conçu pour imiter les composants de l'application Kropyva utilisée par les forces armées ukrainiennes pour le guidage de l'artillerie. À l'instar de l'approche d'ingénierie sociale utilisée par UNC5792, UNC4221 a également tenté de masquer sa fonctionnalité de liaison d'appareils comme une invitation à un groupe Signal de la part d'un contact de confiance. Différentes variantes de ce kit d'hameçonnage ont été observées, notamment :

    • Des sites web de phishing qui redirigent les victimes vers une infrastructure de phishing secondaire se faisant passer pour des instructions légitimes de connexion d'appareils fournies par Signal.

    • Des sites web d'hameçonnage avec le code QR malveillant de connexion à un appareil directement intégré dans le kit d'hameçonnage principal sur le thème de Kropyva.

    • Lors d'opérations antérieures menées en 2022, les pages de phishing UNC4221 ont été conçues pour apparaître comme une alerte de sécurité légitime émanant de Signal.

    Notamment, dans le cadre de son ciblage de Signal, UNC4221 a également utilisé une charge utile JavaScript légère appelée PINPOINT pour collecter des informations de base sur l'utilisateur et des données de géolocalisation à l'aide de l'API de géolocalisation du navigateur. D'une manière générale, le GTIG s'attendait à ce que les messages sécurisés et les données de localisation figurent fréquemment parmi les cibles communes des futures opérations de cette nature, en particulier dans le cadre d'opérations de surveillance ciblées ou de soutien à des opérations militaires conventionnelles.

    Nom : 3.jpg Affichages : 505 Taille : 37,0 Ko
    Exemple

    Efforts plus larges des Russes et des Biélorusses pour dérober des messages à Signal

    Au-delà des efforts ciblés visant à relier d'autres appareils contrôlés par des acteurs aux comptes Signal des victimes, de nombreux acteurs régionaux connus et établis ont également été observés en train d'exploiter des capacités conçues pour voler des fichiers de base de données Signal à partir d'appareils Android et Windows.

    APT44 a été observé en train d'utiliser WAVESIGN, un script Batch Windows léger, pour interroger périodiquement les messages Signal de la base de données Signal d'une victime et exfiltrer les messages les plus récents à l'aide de Rclone.

    Comme l'ont signalé en 2023 le Service de sécurité de l'Ukraine (SSU) et le Centre national de cybersécurité (NCSC) du Royaume-Uni, le logiciel malveillant Android repéré sous le nom d'Infamous Chisel et attribué par les organisations respectives à Sandworm, est conçu pour rechercher de manière récursive une liste d'extensions de fichiers comprenant la base de données locale d'une série d'applications de messagerie, y compris Signal, sur les appareils Android.

    Turla, un acteur russe de la menace attribué par les États-Unis et le Royaume-Uni au Centre 16 du Service fédéral de sécurité (FSB) de la Fédération de Russie, a également utilisé un script PowerShell léger dans des contextes post-compromis pour mettre en scène des messages de bureau Signal en vue de leur exfiltration.

    Au-delà de la Russie, le groupe UNC1151, lié au Belarus, a utilisé l'utilitaire de ligne de commande Robocopy pour mettre en scène le contenu des répertoires de fichiers utilisés par Signal Desktop pour stocker les messages et les pièces jointes en vue d'une exfiltration ultérieure.

    Perspectives et implications

    L'accent opérationnel mis sur Signal par de multiples acteurs de la menace au cours des derniers mois constitue un avertissement important concernant la menace croissante qui pèse sur les applications de messagerie sécurisée et qui ne manquera pas de s'intensifier à court terme. Dans un contexte plus large, avec d'autres tendances du paysage des menaces, telles que le développement de l'industrie des logiciels espions commerciaux et l'augmentation des variantes de logiciels malveillants mobiles utilisés dans les zones de conflit actif, il semble y avoir une demande claire et croissante de capacités cybernétiques offensives qui peuvent être utilisées pour surveiller les communications sensibles des personnes qui comptent sur les applications de messagerie sécurisée pour protéger leur activité en ligne.

    Comme en témoignent les efforts de grande ampleur déployés pour compromettre les comptes Signal, la menace qui pèse sur les applications de messagerie sécurisée ne se limite pas à des opérations cybernétiques à distance telles que l'hameçonnage et la diffusion de logiciels malveillants, mais comprend également des opérations d'accès rapproché dans le cadre desquelles un acteur de la menace peut s'assurer un bref accès à l'appareil déverrouillé d'une cible. Tout aussi important, cette menace ne se limite pas à Signal, mais s'étend également à d'autres plateformes de messagerie largement utilisées, notamment WhatsApp et Telegram, qui ont également fait partie des priorités de ciblage de plusieurs des groupes alignés sur la Russie susmentionnés au cours des derniers mois.

    Les cibles potentielles d'activités d'intrusion soutenues par le gouvernement et visant leurs appareils personnels doivent adopter des pratiques qui les aideront à se protéger :

    • Activer le verrouillage de l'écran sur tous les appareils mobiles à l'aide d'un mot de passe long et complexe composé de lettres majuscules et minuscules, de chiffres et de symboles. Android prend en charge les mots de passe alphanumériques, qui offrent une sécurité nettement supérieure à celle des codes PIN ou des motifs uniquement numériques.

    • Installez les mises à jour du système d'exploitation dès que possible et utilisez toujours la dernière version de Signal et des autres applications de messagerie.

    • Assurez-vous que Google Play Protect est activé, ce qui est le cas par défaut sur les appareils Android dotés des services Google Play. Google Play Protect vérifie que vos applications et appareils n'ont pas de comportement nuisible et peut avertir les utilisateurs ou bloquer les applications connues pour leur comportement malveillant, même si ces applications proviennent de sources autres que Play.

    • Vérifiez régulièrement les appareils liés pour détecter les appareils non autorisés en accédant à la section « Appareils liés » dans les paramètres de l'application.

    • Faites preuve de prudence lorsque vous interagissez avec des codes QR et des ressources web censés être des mises à jour logicielles, des invitations à des groupes ou d'autres notifications qui semblent légitimes et qui invitent à une action immédiate.

    • Si possible, utilisez l'authentification à deux facteurs, comme l'empreinte digitale, la reconnaissance faciale, une clé de sécurité ou un code à usage unique, pour vérifier que votre compte est bien connecté ou relié à un nouvel appareil.
    • Les utilisateurs d'iPhone préoccupés par la surveillance ciblée ou les activités d'espionnage devraient envisager d'activer le mode verrouillage pour réduire leur surface d'attaque.


    Source : "Signals of Trouble: Multiple Russia-Aligned Threat Actors Actively Targeting Signal Messenger"

    Et vous ?

    Pensez-vous que ce rapport est crédible ou pertinent ?
    Quel est votre avis sur le sujet ?

    Voir aussi :

    Des chercheurs ont mis au jour une campagne soutenue et continue menée par des espions russes qui utilisent une technique d'hameçonnage pour détourner des comptes Microsoft 365

    L'un des développeurs de Signal explique pourquoi les premiers outils de messagerie chiffrée ont échoué. Il estime que les développeurs doivent gérer la complexité au lieu de la déléguer aux utilisateurs

    La Russie prévoit des "cyberattaques massives" contre les infrastructures critiques, met en garde l'Ukraine. Et les attaques DDoS sont également susceptibles d'augmenter selon l'avis
    Publication de communiqués de presse en informatique. Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités
    Répondre avec citation Répondre avec citation   4  0
  2. Hier, 08h26 #2
    noremorse
    noremorse est déconnecté
    Membre actif
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Octobre 2002
    Messages
    135
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Octobre 2002
    Messages : 135
    Par défaut
    D’après les documents révélés par Wikileaks :

    L'USAID a injecté près d'un demi-milliard de dollars (472,6 millions de dollars) par l'intermédiaire d'une ONG secrète financée par le gouvernement américain, « Internews Network » (IN), qui a « travaillé avec » 4 291 médias, produisant en un an 4 799 heures d'émissions atteignant jusqu'à 778 millions de personnes et « formant » plus de 9 000 journalistes (chiffres de 2023). IN a également soutenu des initiatives de censure des médias sociaux.

    L’opération revendique des « bureaux » dans plus de 30 pays, dont des bureaux principaux aux États-Unis, à Londres, à Paris et des sièges régionaux à Kiev, Bangkok et Nairobi. Elle est dirigée par Jeanne Bourgault, qui se paie 451 000 dollars par an. Bourgault a travaillé à l’ambassade des États-Unis à Moscou au début des années 1990, où elle était en charge d’un budget de 250 millions de dollars, et dans d’autres révoltes ou conflits à des moments critiques, avant de quitter officiellement l’USAID pendant six ans pour rejoindre l’Inde.

    La biographie de Bourgault et celles de ses autres personnes clés et membres du conseil d'administration ont récemment été supprimées de son site Web, mais restent accessibles à l'adresse http://archive.org . Les archives montrent que le conseil d'administration est coprésidé par le sécurocrate démocrate Richard J. Kessler et Simone Otus Coxe, épouse du milliardaire de NVIDIA Trench Coxe, tous deux d'importants donateurs démocrates. En 2023, soutenu par Hillary Clinton, Bourgault a lancé un fonds IN de 10 millions de dollars à la Clinton Global Initiative (CGI). La page IN montrant une photo de Bourgault à la CGI a également été supprimée.

    IN possède au moins six filiales sous des noms indépendants, dont une basée aux îles Caïmans. Depuis 2008, année où les enregistrements électroniques ont commencé, plus de 95 % du budget d'IN a été financé par le gouvernement américain.

    Nom : IMG_6073.jpeg Affichages : 375 Taille : 88,2 Ko
    Répondre avec citation Répondre avec citation   1  0
Actualités
  • Accueil
  • Forum
  • Systèmes
  • Sécurité
  • De multiples acteurs de la menace alignés sur la Russie ciblent activement Signal Messenger
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. ajouter multiples datalabel pour un meme point sur un chart
    Par leon1983 dans le forum Macros et VBA Excel
    Réponses: 0
    Dernier message: 02/01/2008, 19h13
  2. Problème d'alignement sur 128 bits
    Par progfou dans le forum C++
    Réponses: 24
    Dernier message: 06/07/2007, 17h15
  3. Alignement sur état
    Par cbleas dans le forum IHM
    Réponses: 4
    Dernier message: 12/06/2007, 09h01
  4. Alignement sur JXTable !
    Par fabred dans le forum SWT/JFace
    Réponses: 2
    Dernier message: 04/06/2007, 12h42
  5. text-align sur un select sous IE
    Par manaboko dans le forum Mise en page CSS
    Réponses: 3
    Dernier message: 21/12/2006, 13h34

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo