Die Cybersecurity and Infrastructure Security Agency hat eine Warnung herausgegeben, dass kommerzielle Spyware-Betreiber Messaging-Plattformen ins Visier nehmen, um Zero-Click-Exploits auf persönlichen Geräten zu implementieren. Die Behörde berichtet, dass sich die Täter auf hochrangige Personen konzentrierten, darunter Regierungsbeamte, Mitglieder der Zivilgesellschaft und hochrangige Persönlichkeiten im Privatsektor. Laut der Warnung werden verschlüsselte Messaging-Programme als Lieferkanäle genutzt, da Angreifer die Funktionen von verknüpften Geräten und Kontowiederherstellungstools manipulieren können.
CISA erklärte, dass jüngste Aktivitäten WhatsApp, Signal und Telegram betrafen. Laut der Warnung nutzen Bedrohungsakteure Zero-Click-Schwachstellen und Social-Engineering-Techniken, die es ihnen ermöglichen, Geräte ohne Interaktion des Opfers zu kompromittieren. Innerhalb eines Geräts können Bediener zusätzliche Nutzlasten einsetzen, um den Zugang zu erweitern, Daten zu sammeln oder die Kommunikation zu überwachen. Die Behörde stellte fest, dass diese Operationen in mehreren Regionen beobachtet wurden und das anhaltende Interesse an mobil gezielter Spionage widerspiegeln.
Techniken und identifizierte Ziele
Die Empfehlung weist darauf hin, dass viele Opfer Rollen im Zusammenhang mit Diplomatie, Verteidigung oder politischer Entscheidungsfindung innehaben. Forscher der Threat Intelligence Group von Google und der Unit 42 von Palo Alto identifizierten Kampagnen, in denen russisch verknüpfte Akteure die Verbindung von Signal nutzten, um Konten zu spiegeln und Spyware einzusetzen. Angreifer haben außerdem Phishing-Nachrichten und bösartige QR-Codes verwendet, um Zielgeräte mit der Infrastruktur der Angreifer zu verbinden. Diese Methoden ermöglichen es den Bedienern, eine Steuerung über Funktionen herzustellen, die für den Nutzerkomfort entwickelt wurden.
CISA berichtete, dass Angreifer manchmal legitime Messaging-Dienste imitieren, um Opfer davon zu überzeugen, betrügerische Gerätelinks zu genehmigen. Weitere Techniken umfassen die Ausnutzung von Kontowiederherstellungsflüssen, um angreifergesteuerte Informationen einzufügen. Nach dem Zugriff können Betreiber private Vermittlungsstellen beobachten, Zugangsdaten extrahieren oder Persistenztools installieren, die während der Gerätestarts aktiv bleiben. Die Warnung erklärt, dass diese Taktiken die Entdeckungswahrscheinlichkeit verringern und die Dauer unbefugten Zugriffs verlängern.
CISA warnte, dass verschlüsselte Messaging-Programme die Belastung nicht beseitigen, wenn Angreifer Funktionen wie Geräteverknüpfung oder Wiederherstellungsmechanismen ausnutzen. Wertvolle Ziele sind einem erhöhten Risiko ausgesetzt, da ihre persönlichen Geräte oft sensibles Material enthalten, das mit beruflichen Aufgaben zu tun hat. Die Behörde stellte fest, dass Messaging-Plattformen zu strategischen Interessenpunkten für Eindringlinge geworden sind, da Angreifer private Kommunikation als wertvolle Informationsquellen ansehen.
Der Hinweis empfiehlt, dass Nutzer alle verknüpften Geräte in ihren Messaging-Programmen überprüfen und QR-Codes nicht scannen oder Verbindungsanfragen von unbekannten Quellen genehmigen. CISA verwies die Nutzer auf Leitlinien im Mobile Communications Best Practices Guide für wertvolle Personen sowie auf eine zusätzliche Ressource für zivilgesellschaftliche Gruppen, die mit begrenzten Ressourcen arbeiten. Nutzer werden ermutigt, die stärksten verfügbaren Authentifizierungsoptionen zu aktivieren, die Kontoaktivitäten zu überprüfen und nicht erkannte Gerätezuordnungen zu entfernen.
Sicherheitsanalysten sagten, dass der Wandel hin zu Zero-Click-Methoden darauf hindeutet, dass Angreifer in Techniken investieren, die gängige Schutzmaßnahmen umgehen. Laut der Empfehlung sollten Personen, die mit sensiblen Informationen umgehen, die Sicherheit persönlicher Geräte als wesentlichen Bestandteil ihrer umfassenderen operativen Risikostrategie betrachten. Messaging-Plattformen ziehen weiterhin das Interesse von Bedrohungsakteuren auf sich, die Zugang zu privaten Konversationen, Kontaktlisten und Authentifizierungsdaten suchen.