Messenger

Russische APT-Gruppierung nutzt Signal-Schwachstellen für Spionageangriffe

, Google Threat Intelligence Group | Autor: Herbert Wieler

Russische APT-Gruppierung nutzt Signal-Schwachstellen für Spionageangriffe

Signal-Nutzer im Visier

Die Google Threat Intelligence Group (GTIG) hat kürzlich eine eingehende Analyse über die Cyberangriffe der russischen Bedrohungsakteure APT44 (auch bekannt als Sandworm) veröffentlicht. Die Recherche zeigt, dass diese Gruppe gezielt Signal-Konten von ukrainischen Militär- und Regierungsmitarbeitern kompromittiert, um deren Kommunikation auszuspionieren.

Die Angreifer setzen dabei auf eine Kombination aus Social Engineering, schädlichen QR-Codes und erbeuteten Endgeräten, um Zugriff auf verschlüsselte Nachrichten zu erhalten. Besonders alarmierend ist die Nutzung einer neu entdeckten Angriffstechnik, die sich die Funktion "gekoppelte Geräte" in Signal zunutze macht. Damit erhalten die Angreifer in Echtzeit Zugriff auf die Nachrichten ihrer Opfer, was eine langfristige Überwachung ermöglicht und die Erkennung dieser Angriffe erschwert.

Methoden der Angreifer

Remote-Phishing

  • Verbreitung manipulierter Sicherheitswarnungen oder gefälschter Gruppeneinladungen.
  • Weiterleitung auf bösartige Webseiten, die die Verbindung eines Signal-Kontos mit einem vom Angreifer kontrollierten Gerät erzwingen.

Spezifische Phishing-Kits

  • Entwicklung gezielter Phishing-Apps, die offizielle Militäranwendungen nachahmen (z. B. die Artillerie-Software Kropyva der ukrainischen Streitkräfte).

Physischer Zugriff auf erbeutete Geräte

  • Russische Streitkräfte nutzen von der Frontlinie erbeutete Mobilgeräte, um deren Signal-Konten mit der von ihnen kontrollierten Infrastruktur zu verknüpfen.

Signal reagiert mit Sicherheitsupdates

Als Reaktion auf die aufgedeckten Bedrohungen hat Signal eng mit GTIG zusammengearbeitet und Sicherheitsaktualisierungen für Android und iOS veröffentlicht. Nutzerinnen und Nutzer sollten dringend sicherstellen, dass ihre App auf dem neuesten Stand ist, um sich gegen diese Angriffsvektoren zu schützen.

Dan Black, Principal Analyst der Google Threat Intelligence Group, warnt: "Die russischen Geheimdienste intensivieren ihre Versuche, verschlüsselte Messenger wie Signal zu kompromittieren, da sie deren Bedeutung für die Kommunikation von Militärs, Politikern und weiteren hochrangigen Personen erkannt haben. Die Bandbreite der eingesetzten Angriffstechniken – von Phishing bis hin zu physischen Manipulationen – zeigt, dass sicherheitskritische Kommunikationsplattformen zunehmend unter Druck geraten. Wir gehen davon aus, dass diese Methoden künftig auch außerhalb der Ukraine zur Anwendung kommen werden."