Um investigador de spyware expôs hackers do governo russo tentando sequestrar contas

No início deste ano, Donncha Ó Cearbhaill, um pesquisador de segurança que investiga ataques de spyware, viu-se em uma posição incomum. Pela primeira vez, ele se tornou alvo de hackers.

“Prezado usuário, este é o Signal Security Support ChatBot. Notamos atividades suspeitas em seu dispositivo, que poderiam ter levado a um vazamento de dados”, dizia uma mensagem que ele recebeu em sua conta do Signal.

“Também detectamos tentativas de acesso aos seus dados privados no Signal”, alegava a mensagem.

“Para evitar isso, você precisa passar por um procedimento de verificação, inserindo o código de verificação no Signal Security Support Chatbot. NÃO CONTE O CÓDIGO A NINGUÉM, NEM MESMO AOS FUNCIONÁRIOS DO SIGNAL.”

Obviamente, Ó Cearbhaill, que liderava o Laboratório de Segurança da Anistia Internacional, soube imediatamente que se tratava de uma tentativa “imprudente” de invadir sua conta do Signal. Em vez disso, ele pensou que seria uma boa oportunidade para iniciar uma investigação inesperada.

O pesquisador disse ao TechCrunch que, até então, ele “nunca descobriu” ter sido alvo de uma ciberataque de um clique ou uma tentativa de phishing como essa antes.

“Ter o ataque chegando à minha caixa de entrada e a chance de virar o jogo contra os aventureiros e entender mais sobre a campanha foi bom demais para deixar passar”, disse ele.

Acontece que uma tentativa de ataque ao Ceará provavelmente fez parte de uma campanha de hacking mais ampla que envolve um grande grupo de usuários do Signal. As estratégias dos hackers eram se passar pelo Signal, alertar sobre ameaças de segurança falsas e tentar enganar os alvos para que os hackers acessem suas contas, vinculando-as a um dispositivo controlado pelos hackers.

Essas técnicas eram exatamente as mesmas vistas em uma campanha mais ampla sobre a qual a agência de cibersegurança dos EUA CISA, a agência de cibersegurança do Reino Unido e a inteligência holandesa alertaram e atribuíram a espiões do governo russo. O Signal também alertou sobre ataques de phishing movendo seus usuários. A revista alemã Der Spiegel descobriu que os hackers pretendiam comprometer várias pessoas no país, incluindo políticos de alto escalonamento.

Ó Ceará disse em uma série de mensagens online que conseguiu descobrir que ele era um de mais de 13.500 alvos. Ele se decidiu a revelar exatamente como investigou a tentativa de hacking e a campanha para evitar revelar suas cartas aos hackers, mas apenas alguns detalhes sobre o que aprendeu.

Uma captura de tela do ataque de phishing que visou Donncha Ó Cearbhaill, um pesquisador de segurança da Anistia Internacional. Créditos da imagem: Donncha Ó Cearbhaill

Primeiro, o Ceará descobriu que outros alvos incluíam jornalistas com quem ele havia trabalhado, bem como um colega. Nesse ponto, ele disse que já suspeitava que se tratava de um ataque oportunista onde os hackers comprometeram alvos e identificaram novas vítimas potenciais, graças a esses ataques bem sucedidos.

Ó Cearbhaill chamou isso de “hipótese da bola de neve” e disse estar confirmado de que se tornou um alvo porque provavelmente estava em um chat em grupo com alguém que foi hackeado, o que deu aos hackers a chance de encontrar as informações de contato de novos alvos.

O pesquisador disse que conseguiu identificar o sistema que os hackers estavam usando, chamado “ApocalypseZ”, que automatiza o ataque, permitindo que os hackers atinjam muitas pessoas ao mesmo tempo em massa, com supervisão humana limitada.

Ele também descobriu que o código-fonte e a interface do operador estão em russo, e os hackers estavam traduzindo chats de vítimas para o russo, o que se alinha com a hipótese de que este era o mesmo grupo de hackers do governo russo por trás de campanhas semelhantes.

Ó Ceará disse que ainda está monitorando a campanha e viu os ataques continuarem, o que significa que o número total de alvos é certamente muito maior do que o número que ele viu no início deste ano.

Ele disse que duvida que os hackers o ataquem novamente e provavelmente se arrependerão de tê-lo atacado no primeiro lugar. Ele disse: “Agradeço futuras mensagens, especialmente se elas tiverem zero-days que gostariam de compartilhar”, referindo-se a falhas de segurança que ainda não são conhecidas pelo fornecedor, que são frequentemente usadas em ataques que ele investiga.

Ó Ceará disse que, se os usuários do Signal estiverem preocupados em ser alvo desse tipo de ataque, eles devem ativar o Bloqueio de Registro, um recurso que permite aos usuários definir um PIN para sua conta que impede que outras pessoas registrem seu número de telefone em um dispositivo diferente.

Fonte: Techcrunch