A principios de este año, Donncha Ó Cearbhaill, un investigador de seguridad que investigaba ataques de software espía, se encontró en una posición inusual. Esta vez, se convirtió en el objetivo de los piratas informáticos.
“Estimado usuario, este es el ChatBot de soporte de seguridad de Signal. Hemos notado actividad sospechosa en su dispositivo, lo que podría provocar una fuga de datos”, se lee en el mensaje que recibió en su cuenta de Signal.
“También detectamos un intento de obtener acceso a sus datos personales en Signal”, afirma el mensaje.
“Para evitar esto, debe pasar por el procedimiento de verificación, ingresando el código de verificación en el chatbot de soporte de seguridad de Signal. NO SE LO DIGA A NADIE, NI NI A LOS EMPLEADOS DE SEÑAL”.
Obviamente, Ó Cearbhaill, que dirige el Laboratorio de Seguridad de Amnistía Internacional, se dio cuenta de inmediato de que se trataba de un intento “imprudente” de piratear su cuenta de Signal. En cambio, pensó que era una buena oportunidad para realizar una investigación inesperada.
El investigador le dijo a TechCrunch que hasta ese momento, “nunca a sabiendas” había sido el objetivo de un ciberataque con un solo clic o un intento de phishing como este.
“Recibir los ataques en mi bandeja de entrada y la oportunidad de darles la vuelta a los atacantes y comprender más sobre la campaña fue demasiado buena para dejarla pasar”, dijo.
Resulta que el intento de ataque a Ó Cearbhaill probablemente fue parte de una campaña de piratería más amplia dirigida a un gran grupo de usuarios de Signal. La estrategia de los piratas informáticos era hacerse pasar por Signal, alertar sobre falsas amenazas a la seguridad e intentar engañar a los objetivos para que les dieran acceso a sus cuentas conectándolos a dispositivos controlados por los piratas informáticos.
Estas técnicas son exactamente las mismas que las que se ven en la campaña más amplia. Agencia de ciberseguridad de EE. UU., CISAEso Agencia de seguridad cibernética del Reino Unidoy la inteligencia holandesa han advertido sobre el ataque, culpando del mismo a espías del gobierno ruso. La señal también tiene ser alertado sobre ataques de phishing dirigirse a sus usuarios. revista de noticias alemana Espejo encontrado que los piratas informáticos rusos pudieron infiltrarse en varias personas dentro del país, incluidos políticos destacados.
Desde Carball dijo en una serie de publicaciones en línea que pudo descubrir que era uno de más de 13.500 objetivos. Se negó a revelar exactamente cómo investigó el intento de piratería e hizo campaña para evitar exponer su mano a los piratas informáticos, pero compartió algunos detalles sobre lo que aprendió.
Primero, se dio cuenta de que sus otros objetivos incluían a periodistas con los que había trabajado, así como a un colega. En ese momento, Ó Cearbhaill dijo que ya sospechaba que se trataba de un ataque oportunista en el que los piratas informáticos comprometían objetivos e identificaban posibles nuevas víctimas, gracias al éxito del ataque.
Ó Cearbhaill lo llamó la “hipótesis de la bola de nieve” y dijo que cree que fue atacado porque probablemente estaba en un chat grupal con alguien que fue pirateado, lo que brinda a los piratas informáticos la oportunidad de encontrar la información de contacto de un nuevo objetivo.
El investigador dijo que pudo identificar el sistema que utilizaron los piratas informáticos, llamado “ApocalypseZ”, que automatizaba los ataques, permitiendo a los piratas informáticos atacar a muchas personas al mismo tiempo en grandes cantidades con una supervisión humana limitada.
También descubrió que el código base y la interfaz del operador estaban en ruso, y los piratas informáticos tradujeron los chats de las víctimas al ruso, lo que es consistente con la hipótesis de que se trata del mismo grupo de piratas informáticos del gobierno ruso que estaba detrás de una campaña similar.
Ó Cearbhaill dijo que todavía estaba monitoreando la campaña y vio que los ataques continuaban, lo que significa que el número de objetivos era ciertamente mucho mayor que el número que vio a principios de este año.
Dijo que dudaba que los piratas informáticos volvieran a perseguirlo y tal vez se arrepintiera de haberlo perseguido. Dijo: “Doy la bienvenida a mensajes futuros, especialmente si tienen un día cero que quieren compartir”, refiriéndose a fallas de seguridad aún desconocidas por los proveedores, que a menudo se utilizan en los ataques que investiga.
Ó Cearbhaill dijo que si a los usuarios de Signal les preocupa ser blanco de este tipo de ataque, deberían habilitarlo. Clave de registrouna función que permite a los usuarios establecer un PIN para su cuenta, evitando así que otros registren su número de teléfono en otros dispositivos.
Cuando compra a través de enlaces en nuestros artículos, es posible que ganemos una pequeña comisión. Esto no afecta nuestra independencia editorial.
