Hollanda istihbaratına göre Rus hükümetine bağlı siber korsanlar, dünya genelinde özellikle devlet ve askeri yetkililerle gazetecileri hedef alarak Signal ve WhatsApp kullanıcılarına saldırıyor.
Hollanda Savunma İstihbarat ve Güvenlik Servisi (MIVD) ile Genel İstihbarat ve Güvenlik Servisi (AIVD), Signal ve WhatsApp kullanıcılarına yönelik “büyük ölçekli küresel” bir hacking kampanyasına dair ayrıntıları yayınladı. İki ajans, “Rus devlet aktörleri”nin kötü amaçlı yazılım yerine oltalama (phishing) ve sosyal mühendislik teknikleri kullanarak bu uygulamalardaki hesapları ele geçirmeye çalıştığını belirtti.
Signal için, korsanlar uygulamanın destek ekibi olarak kendilerini tanıtıyor ve hedeflere doğrudan şüpheli aktivite, “mümkün bir veri sızıntısı” veya hedefin özel verilerine erişim girişimi hakkında uyarılar gönderiyor. Hedef bu uyarılara kapıldığında, korsanlar kendilerine SMS ile gönderilen bir doğrulama kodunu ve hedefin PIN kodunu talep ediyor. Korsanlar bu kodu Signal’den kendileri talep ediyorlar.
Bize Ulaşın
Bu hacking kampanyası veya Signal ve WhatsApp’ı hedef alan başka kampanyalar hakkında daha fazla bilginiz var mı? Çalışmayan bir cihazdan, Lorenzo Franceschi-Bicchierai ile güvenli bir şekilde Signal üzerinden +1 917 257 1382 numarasından ya da Telegram ve Keybase üzerinden @lorenzofb ile iletişime geçebilirsiniz.
Korsanlar ardından doğrulama ve PIN kodlarını kullanarak yeni bir cihaz kaydediyor, yeni bir telefon numarasıyla hedefin kimliğini taklit ediyor ve potansiyel olarak kişilerine erişebiliyor. Ayrıca hedef, hesabından uzaklaştırılıyor ancak numarasını yeniden kaydedebiliyor.
“Signal, sohbet geçmişini telefon üzerinde yerel olarak sakladığından, bir kurban numarasını yeniden kaydettikten sonra bu geçmişe yeniden erişim kazanabiliyor. Bu durumda, kurbanın hiçbir şeyin yanlış olduğuna inanabileceği sonucuna varılıyor. Hollanda hizmetleri, bu varsayımın yanlış olabileceğine dikkat çekmek istiyor,” raporda belirtiliyor.
Signal, uygulama üzerinden doğrudan destek sunmuyor. Ayrıca, genel olarak bir kullanıcı yeni bir cihaz eklediğinde, yeni cihazın önceki mesajlara erişimi olmadığını belirtmek de önemli.
Signal, yorum talebine yanıt vermedi, ancak sosyal medyada bir paylaşımda kullanıcıların kendilerini korumaları için tavsiyelerde bulundu; bu öneriler arasında SMS doğrulama kodu ve PIN’in asla paylaşılmaması da mevcut.
Korsanlar, hedeflerin her iki uygulamada da kötü niyetli QR kodlarını taramalarını veya kötü niyetli bağlantılara tıklamalarını sağlamak için de çalışıyor. “Örneğin, bir aktör bir kurbanın sohbet grubuna eklenmesi için bir QR kodu veya bağlantı gönderebilir, fakat bu QR kodu veya bağlantı aslında aktörün cihazını kurbanın hesabına bağlıyor,” raporda açıklandığı üzere.
WhatsApp içinse, korsanlar kullanıcıların bir ikinci cihazdan WhatsApp’a erişimini sağlayan “Bağlı cihazlar” fonksiyonunu kötüye kullanıyor. Hedefleri başarılı bir şekilde tuzağa düşürdüklerinde, – Signal’da olduğu gibi – geçmiş mesajları okuyabiliyorlar. Ve bazen kurbanlar, hesaplarına erişim sağladıklarını fark etmiyorlar çünkü çıkış yapmıyorlar.
Meta’nın sözcüsü Zade Alsawah, WhatsApp’ın kullanıcılara altı haneli kodlarını asla paylaşmamalarını önerdiğini ve kullanıcıların şüpheli mesajları tanımalarına yardımcı olmak için Yardım Merkezi sayfasını işaret etti.
Hollanda Savunma Bakanlığı’ndan bir sözcü, kampanya hakkında daha fazla detay vermeyi reddetti.
Rusya’nın Washington DC’deki Büyükelçiliği yorum talebine yanıt vermedi.
Bu raporda Hollanda istihbarat hizmetleri tarafından vurgulanan bazı tekniklerin Ukrayna’ya karşı savaş bağlamında Rus hükümeti korsanları tarafından kullanıldığı biliniyor.
