وزارت خارجه ایالات متحده اعلام کرده که برای دریافت اطلاعاتی که به شناسایی یا یافتن اعضای دو گروه سایبری وابسته به دولت روسیه منجر شود، تا سقف ۱۰ میلیون دلار جایزه پرداخت خواهد کرد.
این گروهها متهم هستند که هزاران حساب کاربری در پیامرسانهای Signal و WhatsApp را که متعلق به خبرنگاران تحقیقی و کارکنان دولت آمریکا بوده، هدف حملات خود قرار دادهاند.
این عملیات دستکم از ماه مارس در جریان بوده. در همان زمان، اداره تحقیقات فدرال آمریکا (FBI) با انتشار یک هشدار اعلام کرد که حملات فیشینگ گستردهای از سوی مهاجمان مرتبط با سرویسهای اطلاعاتی روسیه علیه افراد مهم و دارای دسترسی به اطلاعات حساس در حال انجام است. در این حملات، پیامهایی با ظاهر پشتیبانی رسمی برای کاربران ارسال میشود و از آنها خواسته میشود روی یک لینک کلیک کنند یا کدهای تأیید و رمزهای عبور حساب خود را ارائه دهند. اگر قربانی این درخواست را انجام دهد، دستگاه مهاجم به حساب او متصل میشود یا کنترل کامل حساب را به دست میآورد و مالک اصلی دیگر قادر به ورود به حساب خود نخواهد بود.
هزاران حساب کاربری تاکنون قربانی شدهاند
# پس از موفقیت حمله، مهاجمان میتوانند تمامی پیامهای جدیدی را که به حساب قربانی ارسال میشود مشاهده کنند. با این حال، یکی از قابلیتهای امنیتی Signal باعث میشود آنها نتوانند به پیامهای قدیمی که پیش از نفوذ رد و بدل شدهاند دسترسی پیدا کنند. این حملات عمدتاً افرادی را هدف قرار داده که از نظر اطلاعاتی ارزش بالایی دارند؛ از جمله مقامهای فعلی و سابق دولت آمریکا، نیروهای نظامی، چهرههای سیاسی و خبرنگاران.
افبیآی هفته گذشته هشدار تازهای منتشر کرد و توضیح داد که شیوه این حملات تغییر کرده است. علاوه بر پیامهایی که خود را بهعنوان ربات پشتیبانی معرفی میکنند و کاربران را برای اتصال حسابشان به دستگاه مهاجم فریب میدهند، اکنون پیامهایی نیز ارسال میشود که کاربران را تشویق میکند از تمامی مکالمات گذشته خود نسخه پشتیبان تهیه کنند. سپس در پیام بعدی از قربانی خواسته میشود کلید بازیابی طولانی مربوط به رمزگذاری نسخه پشتیبان ذخیرهشده روی سرورهای Signal را ارسال کند. با دریافت این کلید، مهاجمان قادر خواهند بود به مکالمات قدیمی نیز دسترسی پیدا کنند. در این گزارش آمده که دو گروه روسی مسئول این عملیات با نامهای UNC5792 و UNC4221 شناسایی شدهاند.
نمونهای از یکی از این پیامها به این صورت است:
Signal اینجاست
در روزهای اخیر تلاش برای هک حساب کاربران این پیامرسان از طریق اتصال دستگاههای ناشناس به حسابها افزایش یافته است.
تحقیقاتی که با همکاری دولت آمریکا و شرکای اروپایی انجام شده نشان میدهد این حملات از سوی هکرهایی از روسیه صورت گرفته است.
به همین دلیل Signal شرایط استفاده و سیاست حفظ حریم خصوصی خود را بهروزرسانی کرده و احراز هویت دومرحلهای اجباری را برای کاربران فعال کرده است.
برای اینکه پیامها و فایلهای رسانهای خود را از دست ندهید، از مسیر تنظیمات، بخش نسخههای پشتیبان، گزینه فعالسازی نسخه پشتیبان، مشاهده کلید بازیابی، کپی کردن آن، وارد کردن کلید بازیابی و سپس انتخاب طرح پشتیبان، مراحل را کامل کنید.
در پنجره نمایشدادهشده روی گزینه پذیرش بزنید و منتظر دریافت بهروزرسانیهای امنیتی پیامرسان باشید.
در امنیت بمانید و از اینکه امنترین پیامرسان دارای رمزگذاری سرتاسری را انتخاب کردهاید سپاسگزاریم.
اگر پرسشی دارید، دستور کمک را ارسال کنید.
نمونه دیگری از این پیامها نیز چنین متنی دارد:
اقدام فوری لازم است؛ بازیابی اطلاعات ضروری.
اطلاعات حساب Signal شما شامل پیامها و فایلهای رسانهای به دلیل بروز مشکل در همگامسازی در معرض حذف دائمی قرار گرفته است.
برای جلوگیری از حذف اطلاعات، وارد تنظیمات شوید، بخش نسخههای پشتیبان را باز کنید، گزینه پیکربندی را انتخاب نمایید، نسخه پشتیبان را فعال کرده و سپس کلید بازیابی را مشاهده کنید.
کلید بازیابی را کپی نمایید.
کلید را در همین گفتوگو ارسال کنید.
با انجام این کار نسخه پشتیبان فعلی به حساب شما متصل میشود. اگر این کار را انجام ندهید، ممکن است دسترسی به همه پیامها و اطلاعات ذخیرهشده خود را برای همیشه از دست بدهید.
روز دوشنبه، وزارت خارجه آمریکا اعلام کرد که در قالب برنامه پاداش برای عدالت، برای دریافت اطلاعاتی درباره هویت یا محل حضور افراد دخیل در این عملیات تا ۱۰ میلیون دلار جایزه در نظر گرفته است. این اطلاعیه توضیح میدهد که در برخی موارد، مهاجمان از قابلیتی در Signal سوءاستفاده کردهاند که امکان ایجاد لینک دعوت برای پیوستن کاربران به گروههای گفتوگو را فراهم میکند.
جزئیات بیشتر از گروههای هکری
# در اطلاعیه روز دوشنبه آمده که در چارچوب این جایزه، برنامه پاداش برای عدالت به دنبال اطلاعاتی درباره گروه مخرب UNC5792 است که با نیروهای مرزبانی سرویس امنیت فدرال روسیه یا FSB ارتباط دارد و همچنین گروه UNC4221 که به نمایندگی از سرویسهای نظامی روسیه فعالیت میکند. همچنین اعلام شده که گروه UNC5792 کارزار گستردهای از حملات فیشینگ را علیه حسابهای Signal و WhatsApp متعلق به مقامهای دولتی آمریکا، فرماندهان نظامی و نیروهای متحد این کشور اجرا کرده است.
در ادامه این اطلاعیه آمده که اعضای گروه UNC5792 در برخی موارد صفحات واقعی دعوت به گروه را تغییر داده و کاربران را به نشانی اینترنتی مخربی هدایت کردهاند که دستگاه تحت کنترل این گروه را به حساب Signal قربانی متصل میکرد. اگرچه این حملات هیچ نقص امنیتی در سامانه رمزگذاری این پیامرسانها را هدف قرار ندادهاند، اما در نهایت هزاران حساب کاربری در پیامرسانهای تجاری را در معرض نفوذ قرار دادهاند.
برنامه پاداش برای عدالت همچنین اعلام کرده که این عملیات تاکنون باعث نفوذ به هزاران حساب کاربری در پیامرسانها شده. برای بسیاری از افراد شاید باور اینکه مأموران اطلاعاتی، دیپلماتها یا خبرنگاران آمریکایی قربانی چنین فریبهایی شوند دشوار باشد، اما واقعیت این است که تنها یک لحظه بیدقتی، خستگی، کمخوابی یا کاهش تمرکز کافی است تا فرد به چنین پیامهایی پاسخ دهد. به همین دلیل، حملات فیشینگ همچنان با وجود سادگی فنی، یکی از مؤثرترین روشها برای نفوذ به حسابهای کاربری محسوب میشوند.
افبیآی در هشدار خود تأکید کرد اگر فردی کلید بازیابی نسخه پشتیبان را در اختیار مهاجمان قرار داده باشد، باید در بخش تنظیمات، یک کلید بازیابی جدید ایجاد کند. با این اقدام، کلید قبلی برای تمامی دانلودهای بعدی نسخه پشتیبان بیاعتبار خواهد شد. البته این کار مانع از آن نمیشود که مهاجم پیش از این نسخه پشتیبان حساب را دانلود کرده باشد.
کاربران پیامرسانها باید توجه داشته باشند که خدمات پشتیبانی رسمی هرگز از داخل برنامه درخواست ارسال کدهای تأیید نمیکنند. همچنین تیمهای پشتیبانی رسمی هیچگاه لینکهایی برای تأیید یا بازیابی حساب کاربری برای کاربران ارسال نمیکنند.
از سوی دیگر، کاربران نباید هیچ کد تأییدی را در اختیار دیگران قرار دهند، مگر اینکه کاملاً مطمئن باشند درخواست از طریق کانال رسمی و معتبر پیامرسان ارسال شده است. در پایان نیز تأکید شده که کاربران بهتر است در برابر پیامهایی که حس فوریت و عجله ایجاد میکنند، شتابزده عمل نکنند. در بیشتر موارد، حتی اگر درخواست واقعی باشد، چند ساعت تأخیر برای بررسی صحت آن هیچ پیامد منفی به دنبال نخواهد داشت و همین فرصت کوتاه میتواند مانع گرفتار شدن در دام حملات فیشینگ شود.