Por mais de uma década, a guerra cibernética russa tem usado a Ucrânia como um laboratório para suas mais recentes técnicas de hacking, métodos que muitas vezes visam os ucranianos primeiro antes de serem implantados de forma mais ampla. Agora, o Google está alertando sobre um truque de espionagem russo que tem sido usado para obter mensagens de ucranianos na plataforma criptografada Signal — e um que tanto ucranianos quanto outros usuários do Signal em todo o mundo devem se proteger com uma nova atualização do aplicativo.
A equipe de inteligência de ameaças do Google divulgou na quarta-feira um relatório revelando como vários grupos de hackers que atendem aos interesses do Estado russo estão atacando o Signal, a ferramenta de mensagens criptografadas de ponta a ponta que se tornou amplamente aceita como padrão para comunicações privadas e agora é frequentemente usada por ucranianos, incluindo nas comunicações de campo do exército ucraniano. Esses grupos ligados à Rússia, que o Google nomeou como UNC5792 e UNC4221, estão aproveitando um recurso do Signal que permite que os usuários se juntem a um grupo do Signal escaneando um código QR em seu telefone. Ao enviar mensagens de phishing para as vítimas, muitas vezes pelo próprio Signal, ambos os grupos de hackers falsificaram esses convites de grupo na forma de códigos QR que, em vez disso, escondem comandos javascript que conectam o telefone da vítima a um novo dispositivo — neste caso, um nas mãos de um espião que pode então ler todas as mensagens que o alvo envia ou recebe.
“Parece exatamente como um convite para o grupo, e tudo funcionaria exatamente assim, exceto que, quando você escaneia, ele conecta o dispositivo ao de outra pessoa”, diz Dan Black, um pesquisador de ciberespionagem do Google e ex-analista da OTAN. “Ele emparelha instantaneamente seu dispositivo com o deles. E todas as suas mensagens agora estão, em tempo real, sendo entregues ao ator de ameaça enquanto você as recebe.”
Dois meses atrás, o Google começou a alertar a Fundação Signal, que mantém a plataforma de comunicações privadas, sobre o uso da técnica de phishing com código QR pela Rússia, e o Signal terminou na semana passada de implantar uma atualização para iOS e Android projetada para combater o truque. A nova proteção avisa os usuários quando eles conectam um novo dispositivo e verifica com eles novamente em um intervalo aleatório algumas horas depois que esse dispositivo é adicionado para confirmar que eles ainda desejam compartilhar todas as mensagens com ele. O Signal agora também exige uma forma de autenticação, como inserir um código ou usar FaceID ou TouchID no iOS, para adicionar um novo dispositivo vinculado.
Na verdade, o Signal já estava trabalhando para atualizar essas formas de proteção contra phishing voltadas especificamente para a exploração de seu recurso de dispositivo vinculado antes do alerta do Google, diz Josh Lund, tecnólogo sênior do Signal. Mas o relatório do Google sobre a espionagem da Rússia na Ucrânia forneceu um exemplo “agudo” do problema que os levou a agir rapidamente para proteger os usuários, afirma ele.
“Estamos realmente gratos à equipe do Google por sua ajuda em tornar o Signal mais resiliente a esse tipo de engenharia social”, diz Lund, usando o termo de cibersegurança para truques que enganam as vítimas a fornecer informações sensíveis ou acesso a seus sistemas.
Tanto o Google quanto o Signal enfatizaram que a técnica de phishing que o Google viu em uso na Ucrânia não sugere que a criptografia do Signal esteja quebrada ou que as mensagens do aplicativo possam ser espionadas de outra forma durante o trânsito. Em vez disso, o truque combina essencialmente dois recursos legítimos — convites de grupo com código QR e vinculação de dispositivos com código QR que emparelha um smartphone com um laptop — trocando invisivelmente um pelo outro para enganar os usuários. “O phishing é um grande problema na internet, e nunca é bom ouvir que alguém caiu vítima de um desses ataques”, diz Lund. “Mas estamos tentando fazer o nosso melhor para manter os usuários seguros, e acreditamos que essas melhorias recentes realmente ajudarão.”
O Google observa que viu a Rússia usar técnicas semelhantes para atacar outras plataformas de comunicação como WhatsApp e Telegram também. Mas os hackers ligados ao exército russo se concentraram no Signal devido ao seu uso tático generalizado no exército ucraniano. Um dos dois grupos de hackers que explorou a técnica de phishing com código QR, por exemplo, disfarçou os códigos como convites para grupos associados a um aplicativo de orientação de artilharia usado pelo exército ucraniano chamado Kropyva. Em outros casos, os códigos QR falsificados impersonaram convites de outros grupos de um contato de confiança ou alertas de segurança do próprio Signal.
Os hackers da Rússia têm como alvo o Signal como parte dos esforços de guerra do país na Ucrânia desde pelo menos 2023, um ano após sua invasão em grande escala, diz Black, do Google. Foi quando o grupo de hackers russo conhecido como Sandworm, uma unidade notória da agência de inteligência militar GRU da Rússia, começou a mudar de ataques cibernéticos disruptivos para espionagem tática que incluía a penetração de tablets usados pelo exército ucraniano. Em alguns casos, os hackers do Sandworm também ajudaram as tropas russas na linha de frente a descarregar mensagens do Signal de dispositivos capturados, incluindo usando o recurso de dispositivo vinculado para emparelhar telefones comprometidos com seus próprios PCs. O Google afirma que o Turla, um grupo de hackers ligado à agência de segurança FSB da Rússia, também tem como alvo mensagens do Signal em PCs que foram infectados com malware.
Black, do Google, diz que os analistas da empresa, no entanto, esperaram para destacar o uso da técnica de phishing com código QR pela Rússia para atacar o Signal até que a Fundação Signal pudesse implantar novas proteções, em parte para evitar que outros hackers copiassem a técnica. Black alerta, de fato, que o alvo da Rússia no Signal na Ucrânia não deve ser visto como um problema limitado à Ucrânia nem a conflitos militares em geral. O truque é tão provável de ser usado para atacar dissidentes e ativistas que usam o Signal em todo o mundo, ou até mesmo um conjunto mais amplo de alvos. Em dezembro, por exemplo, autoridades dos EUA recomendaram que os americanos usassem aplicativos criptografados de ponta a ponta em resposta às penetrações generalizadas das redes de telecomunicações dos EUA pelo grupo de hackers chinês Salt Typhoon.
“O caso de uso para essas técnicas é tão amplo”, diz Black. “A história nos mostrou uma história muito particular em termos de ofício, que as coisas que acontecem na Ucrânia não parecem permanecer confinadas lá.”