德国前对外情报局副局长 Signal 账号遭攻击
- 浏览次数 355
- 喜欢 0
HackerNews 编译,转载请注明出处:
德国联邦情报局(BND)前副局长阿恩特・弗赖塔格・冯・洛林霍芬(Arndt Freytag von Loringhoven)成为 Signal 网络攻击的目标,这是一系列针对德国官员和政客的攻击浪潮的一部分。
一场针对 Signal 和 WhatsApp 用户的网络攻击,波及了德国高级官员,其中包括前 BND 副局长阿恩特・弗赖塔格・冯・洛林霍芬。这位官员报告称,有人冒充 Signal 客服联系他,并索要他的个人识别码(PIN)。这一事件凸显了一场针对安全机构和政治要职敏感人员的广泛网络间谍活动。
《明镜》周刊(SPIEGEL)发布的报道称:“他绝非全球针对 Signal 和 WhatsApp 用户账号攻击浪潮中唯一的知名受害者。据《明镜》周刊了解,德国高级政客已向当局报案称自己是受害者,安全机构的在职官员也遭到了攻击。” 早在 2 月,德国联邦宪法保卫局(BfV)和联邦信息安全办公室(BSI)就将此次攻击归类为 “与安全相关”,并敦促受影响人员站出来。BfV 表示,这一警告得到了 “高度响应”,且他们认为这避免了更严重的损害。
德国当局警告 Signal 用户检查可疑迹象,比如在 “已配对设备” 下列出的未知设备,或者意外收到的重新注册账号提示。
以前 BND 官员阿恩特・弗赖塔格・冯・洛林霍芬的情况为例,攻击者利用他被盗取的账号向其联系人发送恶意链接。他迅速警告联系人不要打开链接,并删除了自己的账号。调查人员认为,这起事件是与俄罗斯有关的持续混合攻击行动的一部分。鉴于洛林霍芬曾研究俄罗斯混合战争,还著有《普京对德国的攻击》一书,他很可能被视为高价值目标。
Signal 方面表示,近期的这些事件是有针对性的网络钓鱼攻击,攻击者借此劫持官员和记者的账号。该公司强调其加密技术和基础设施并未受损,仍然安全。Signal 在 X 平台(原推特)上发文称:“我们知晓近期有关针对性网络钓鱼攻击导致部分 Signal 用户(包括政府官员和记者)账号被劫持的报道。我们对此高度重视。需要明确的是:Signal 的加密技术和基础设施并未受损,依然稳固。”
Signal 警告称,此类攻击依赖社会工程学手段,攻击者冒充可信联系人或假冒客服,诱骗用户分享验证码或 PIN 码。该公司强调绝不会通过消息或社交媒体索要这些信息,并敦促用户保持警惕,切勿分享登录验证码。
3 月初,荷兰情报机构(军事情报和安全局 MIVD 以及荷兰安全情报局 AIVD)发出警告,称存在一场由与俄罗斯有关的威胁行为者发起的全球行动,目标是入侵 Signal 和 WhatsApp 账号。此次行动的目标包括政府官员、公务员和军事人员,凸显了国家安全相关人员敏感通信面临的日益增长的网络风险。
荷兰情报机构发布的警报称:“俄罗斯国家黑客正在开展一场大规模全球网络行动,试图获取政要、军事人员和公务员的 Signal 和 WhatsApp 账号。荷兰军事情报和安全局 MIVD 以及荷兰安全情报局 AIVD 可以证实,此次行动的目标和受害者包括荷兰政府雇员。荷兰情报机构还认为,俄罗斯政府感兴趣的其他人员,如记者,也可能成为此次行动的目标。”
俄罗斯网络间谍通过诱骗用户透露验证码,从而劫持 Signal 和 WhatsApp 账号。他们冒充 Signal 客服,或利用 “关联设备” 功能,获取消息和聊天群组的访问权限,这可能导致政府和军事目标的敏感信息泄露。
荷兰情报机构警告称,俄罗斯之所以瞄准 Signal,是因其强大的端到端加密功能,俄罗斯企图借此获取敏感的政府通信内容。官员们强调,Signal 和 WhatsApp 等应用不应被用于传输机密或保密信息。
政府专家指出,攻击者并非利用应用程序漏洞,而是滥用 Signal 和 WhatsApp 的合法功能。官员们表示,只有个别账号成为攻击目标,而非平台本身。
荷兰情报机构建议 Signal 用户仔细监控群组聊天,留意账号被入侵的迹象。如果同一联系人以相同或稍有改动的名字出现两次,这可能表明账号已遭入侵,或者是受害者新创建的账号。用户应向所在组织的信息安全团队报告可疑情况,并通过电子邮件或电话等其他渠道核实账号。群组管理员应移除任何未经授权的账号,之后合法成员可重新加入。受攻击者控制的账号可能会更改显示名称,例如改为 “已删除账号”,或者通过共享群组链接加入,从而触发通知。用户应警惕不熟悉的成员和异常的账号行为。如果怀疑群组管理员账号已遭入侵,建议离开该聊天群组并创建新群组,以确保群组内通信的安全性和完整性。
2025 年 2 月,谷歌威胁情报小组(GTIG)的研究人员发出警告,称多个与俄罗斯有关的威胁行为者正瞄准俄罗斯情报部门感兴趣人员使用的 Signal Messenger 账号。专家推测,针对 Signal 所采用的策略、技术和流程在短期内仍会普遍存在,且可能会在乌克兰以外的地区实施。
俄罗斯黑客利用 Signal 的 “关联设备” 功能,通过特制的二维码将受害者账号关联到攻击者控制的设备上,进而进行监视。
GTIG 发布的报告称:“俄罗斯方面试图入侵 Signal 账号时,最新颖且广泛使用的技术是滥用该应用程序合法的 ‘关联设备’ 功能,该功能允许 Signal 在多个设备上同时使用。由于添加关联设备通常需要扫描二维码,威胁行为者便制作恶意二维码,受害者扫描后,其账号就会与攻击者控制的 Signal 实例关联。如果成功,后续消息将实时同步发送给受害者和威胁行为者,这为攻击者提供了一种持续监听受害者安全对话的方式,而无需完全入侵设备。”
研究人员还报告称,与俄罗斯和白俄罗斯有关的威胁行为者能够使用脚本、恶意软件和命令行工具,从安卓和 Windows 设备上窃取 Signal 数据库文件,以实现数据渗出。
消息来源:securityaffairs.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文