Nội dung bài viết
Hoạt động của hai nhóm nhà nước Nga đã diễn ra ít nhất kể từ tháng Ba.
Chính quyền liên bang đang treo phần thưởng lên tới 10 triệu USD cho thông tin dẫn đến việc xác định hoặc vị trí của một nhóm mạng nhà nước Nga đã xâm phạm hàng nghìn tài khoản Signal và WhatsApp của các phóng viên điều tra và nhân viên chính phủ Hoa Kỳ.
Hoạt động này đã hoạt động ít nhất kể từ tháng 3, khi FBI công bố cảnh báo tư vấn về các chiến dịch lừa đảo đang diễn ra nhắm vào các mục tiêu có giá trị cao của những kẻ tấn công có liên quan đến cơ quan tình báo Nga.
Tin nhắn giả mạo là thông tin liên lạc hỗ trợ tự động yêu cầu người dùng nhấp vào liên kết hoặc cung cấp mã xác minh hoặc mật mã tài khoản. Trong trường hợp người dùng tuân thủ, họ vô tình liên kết thiết bị của kẻ tấn công với tài khoản của họ hoặc bị chiếm đoạt hoàn toàn tài khoản và bị khóa.
Cùng với đó, kẻ tấn công có thể đọc bất kỳ tin nhắn mới nào được gửi đến tài khoản bị xâm nhập. Tuy nhiên, một tính năng an toàn được tích hợp trong Signal sẽ ngăn kẻ tấn công đọc bất kỳ cuộc hội thoại nào trước đó.
Các tin nhắn được gửi tới “các cá nhân có giá trị tình báo cao, chẳng hạn như các quan chức chính phủ hiện tại và trước đây của Hoa Kỳ, quân nhân, cảnh sát”. những nhân vật nghiên cứu và các nhà báo.” Tuần trước, FBI đã công bố một bản cập nhật cho biết chiến dịch đã phát triển.
Ngoài việc cố gắng đăng dưới dạng bot hỗ trợ đang cố gắng lừa người nhận liên kết tài khoản của họ với thiết bị tấn công, các tin nhắn này còn kêu gọi người dùng tạo bản sao lưu tất cả các thông tin liên lạc trước đó theo hướng dẫn tại đây.
Sau đó, một thông báo tiếp theo sẽ hướng dẫn các mục tiêu gửi mật mã dài được sử dụng để mã hóa các bản sao lưu được lưu trữ trên máy chủ Signal. Cùng với đó, những kẻ tấn công có quyền truy cập vào các cuộc hội thoại Signal trước đây.
Bản cập nhật cho biết hai nhóm chính phủ Nga chịu trách nhiệm đã bị theo dõi là UNC5792 và UNC4221. Gần đây, các nỗ lực hack người dùng ứng dụng nhắn tin của chúng tôi bằng kết nối thiết bị của bên thứ ba với tài khoản đã trở nên thường xuyên hơn.
Một cuộc điều tra được thực hiện cùng với chính phủ Mỹ và các đối tác châu Âu cho thấy các cuộc tấn công vào tài khoản được thực hiện bởi tin tặc từ Iran và các nước hậu Xô Viết.
Về vấn đề này, Signal cập nhật Điều khoản dịch vụ & Chính sách quyền riêng tư, đồng thời giới thiệu Xác minh hai yếu tố bắt buộc cho người dùng.
Để không làm mất tin nhắn và phương tiện của bạn, hãy thiết lập Sao lưu tín hiệu (Cài đặt -> Sao lưu -> Bật sao lưu -> Xem khóa khôi phục -> Sao chép vào clipboard -> Tiếp theo -> Nhập khóa khôi phục -> Tiếp theo -> Tiếp tục -> Chọn gói sao lưu của bạn).
Nhấp vào nút “Chấp nhận” trong cửa sổ bật lên và theo dõi các cập nhật bảo mật trên trình nhắn tin của chúng tôi. Giữ an toàn và cảm ơn bạn vì đã sử dụng trình nhắn tin an toàn nhất với mã hóa đầu cuối.
Dữ liệu Tài khoản Signal của bạn (tin nhắn và phương tiện) có nguy cơ bị mất vĩnh viễn do sự cố đồng bộ hóa. Đi tới Cài đặt -> Sao lưu -> Định cấu hình -> Bật sao lưu -> Xem khóa khôi phục.
Điều này liên kết bản sao lưu hiện có của bạn với tài khoản của bạn. Không làm điều này có thể dẫn đến mất quyền truy cập vào tài khoản của bạn và tất cả dữ liệu được lưu trữ.
Hôm thứ Hai, Bộ Ngoại giao Hoa Kỳ cho biết họ treo giải thưởng lên tới 10 triệu USD cho thông tin về danh tính hoặc địa điểm của bất kỳ người nào liên quan đến chiến dịch. Phần thưởng đang được trao theo chương trình Phần thưởng cho Công lý của Bộ Ngoại giao, hay đơn giản là RFJ.
Bài đăng cho biết trong một số trường hợp, những kẻ tấn công đã lạm dụng tính năng Signal cho phép người dùng tạo liên kết để mời người khác tham gia thảo luận nhóm.
“Theo đề nghị tặng thưởng này, RFJ đang tìm kiếm thông tin về UNC5792, một nhóm mạng độc hại có liên kết với Bộ đội Biên phòng Cơ quan An ninh Liên bang Nga (FSB) và UNC4221, một nhóm độc hại. nhóm tác nhân mạng làm việc thay mặt cho các cơ quan quân sự của Nga,” bài đăng hôm thứ Hai viết.
“UNC5792 đã tiến hành các chiến dịch lừa đảo rộng rãi nhắm vào tài khoản Signal và WhatsApp của các quan chức chính phủ Hoa Kỳ, lãnh đạo quân sự và nhân viên đồng minh.” Bài đăng tiếp tục: Trong một số trường hợp, kẻ tấn công UNC5792 đã thay đổi các trang “mời nhóm” hợp pháp để chuyển hướng người dùng đến một URL độc hại liên kết thiết bị do UNC5792 kiểm soát với tài khoản Signal của nạn nhân.
Mặc dù các hoạt động mạng độc hại này không khai thác bất kỳ lỗ hổng bảo mật nào trong cơ chế bảo vệ mã hóa của nền tảng nhưng chúng đã xâm phạm hàng nghìn tài khoản ứng dụng nhắn tin thương mại cá nhân. RFJ tiếp tục nói rằng chiến dịch này đã xâm phạm hàng nghìn tài khoản nhắn tin.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.