No início deste ano, Donncha Ó Cearbhaill, um investigador de segurança que investiga ataques de spyware, encontrou-se numa posição invulgar. Pela primeira vez, ele se tornou alvo de hackers.
“Caro usuário, aqui é o Signal Security Support ChatBot. Notamos atividades suspeitas em seu dispositivo, o que pode ter levado ao vazamento de dados”, dizia uma mensagem que ele recebeu em sua conta Signal.
“Também detectamos tentativas de obter acesso aos seus dados privados no Signal”, afirmava a mensagem.
“Para evitar isso, você deve passar pelo procedimento de verificação, inserindo o código de verificação no Signal Security Support Chatbot. NÃO DIGA O CÓDIGO A NINGUÉM, NEM MESMO AOS FUNCIONÁRIOS DO SINAL.”
Obviamente, Ó Cearbhaill, que dirige o Laboratório de Segurança da Amnistia Internacional, reconheceu imediatamente que esta foi uma tentativa “insensata” de hackear a sua conta Signal. Em vez disso, ele pensou que seria uma boa oportunidade para iniciar uma investigação inesperada.
O pesquisador disse ao TechCrunch que, até então, ele “nunca havia sido alvo intencionalmente” de um ataque cibernético de um clique ou de uma tentativa de phishing como essa antes.
“Ter o ataque chegando à minha caixa de entrada e a chance de virar o jogo contra os atacantes e entender mais sobre a campanha era bom demais para ser desperdiçado”, disse ele.
No final das contas, a tentativa de ataque a Ó Cearbhaill provavelmente fez parte de uma campanha de hackers mais ampla visando um grande grupo de usuários do Signal. As estratégias dos hackers consistiam em se passar por Signal, alertar sobre falsas ameaças à segurança e tentar enganar os alvos para que dessem aos hackers acesso às suas contas, vinculando-as a um dispositivo controlado pelos hackers.
Estas técnicas foram exactamente as mesmas que foram observadas numa campanha mais ampla que a agência de cibersegurança dos EUA CISA, a agência de cibersegurança do Reino Unido e a inteligência holandesa alertaram sobre os ataques e atribuíram a culpa a espiões do governo russo. A Signal também alertou sobre ataques de phishing direcionados a seus usuários. A revista de notícias alemã Der Spiegel descobriu que os hackers russos conseguiram comprometer várias pessoas dentro do país, incluindo políticos de alto nível.
Ó Cearbhaill disse em uma série de postagens online que conseguiu descobrir que era um dos mais de 13.500 alvos. Ele se recusou a revelar exatamente como investigou a tentativa de hacking e a campanha para evitar revelar sua mão aos hackers, mas compartilhou alguns detalhes sobre o que descobriu.
Uma captura de tela do ataque de phishing direcionado a Donncha Ó Cearbhaill, pesquisadora de segurança da Anistia Internacional. (Imagem: DONNCHAÓ Cearbhail)Créditos da imagem:Donncha Ó Cearbhaill
Primeiro, percebeu que outros alvos incluíam jornalistas com quem tinha trabalhado, bem como um colega. Nessa altura, Ó Cearbhaill disse já suspeitar que se tratava de um ataque oportunista em que hackers comprometeram alvos e identificaram novas vítimas potenciais, graças a esses ataques bem-sucedidos.
Ó Cearbhaill chamou isso de “hipótese de bola de neve” e disse estar convencido de que se tornou um alvo porque provavelmente estava em um bate-papo em grupo com alguém que foi hackeado, o que deu aos hackers a chance de encontrar as informações de contato de novos alvos.
O pesquisador disse que foi capaz de identificar o sistema que os hackers estavam usando, chamado “ApocalypseZ”, que automatiza o ataque, permitindo que os hackers atingissem muitas pessoas ao mesmo tempo em massa, com supervisão humana limitada.
Ele também descobriu que a base de código e a interface do operador estão em russo, e os hackers estavam traduzindo os bate-papos das vítimas para o russo, o que se alinha com a hipótese de que este era o mesmo grupo de hackers do governo russo por trás de campanhas semelhantes.
Ó Cearbhaill disse que ainda está a monitorizar a campanha e tem visto os ataques continuarem, o que significa que o número total de alvos é certamente muito superior ao número que viu no início deste ano.
Ele disse que duvida que os hackers irão atrás dele novamente, e provavelmente se arrependerá de ter feito isso em primeiro lugar. Ele disse: “Congratulo-me com mensagens futuras, especialmente se tiverem dias zero que gostariam de compartilhar”, referindo-se a falhas de segurança que ainda não são conhecidas pelo fornecedor, que são frequentemente usadas em ataques que ele investiga.
Ó Cearbhaill disse que se os usuários do Signal estiverem preocupados em serem alvo desse tipo de ataque, eles devem ativar o Bloqueio de Registro, um recurso que permite aos usuários definir um PIN para sua conta que impede que outros registrem seu número de telefone em um dispositivo diferente.
Quando você compra por meio de links em nossos artigos, podemos ganhar uma pequena comissão. Isso não afeta nossa independência editorial.
