L’Agenzia per la Sicurezza Informatica e le Infrastrutture ha emesso un allerta che gli operatori commerciali di spyware stanno prendendo di mira le piattaforme di messaggistica per implementare exploit zero-click sui dispositivi personali. L’agenzia riferisce che gli aggressori si sono concentrati su individui di alto valore, inclusi funzionari governativi, membri della società civile e figure di spicco del settore privato. Secondo l’avviso, i programmi di messaggistica criptata vengono utilizzati come canali di distribuzione perché gli attaccanti possono manipolare le funzionalità dei dispositivi collegati e gli strumenti di recupero account.
CISA ha dichiarato che le attività recenti hanno coinvolto WhatsApp, Signal e Telegram. Secondo l’avviso, gli attori minacciosi stanno utilizzando vulnerabilità zero-click e tecniche di ingegneria sociale che permettono loro di compromettere i dispositivi senza alcuna interazione da parte della vittima. Una volta all’interno di un dispositivo, gli operatori possono dispiegare carichi utili aggiuntivi per ampliare l’accesso, raccogliere dati o monitorare le comunicazioni. L’agenzia ha osservato che queste operazioni sono state osservate in più regioni e riflettono un interesse continuo per lo spionaggio mirato al mobile.
Tecniche e obiettivi identificati
L’avviso osserva che molte vittime ricoprono ruoli legati alla diplomazia, alla difesa o al processo decisionale politico. I ricercatori del Threat Intelligence Group di Google e dell’Unit 42 di Palo Alto hanno identificato campagne in cui attori collegati alla Russia hanno utilizzato la funzione di dispositivi collegati di Signal per speculare account e distribuire spyware. Gli attaccanti hanno anche utilizzato messaggi di phishing e codici QR dannosi per collegare i dispositivi target all’infrastruttura degli attaccanti. Questi metodi permettono agli operatori di stabilire il controllo attraverso funzionalità progettate per offrire comodità all’utente.
CISA ha riferito che gli attaccanti a volte si spacciano per servizi di messaggistica legittimi per convincere le vittime ad approvare link fraudolenti ai dispositivi. Altre tecniche includono l’utilizzo dei flussi di recupero account per inserire informazioni controllate dall’attaccante. Dopo aver ottenuto l’accesso, gli operatori possono osservare scambi privati, estrarre credenziali o installare strumenti di persistenza che rimangono attivi durante i riavvii del dispositivo. L’avviso spiega che queste tattiche riducono la probabilità di rilevamento e aumentano la durata degli accessi non autorizzati.
CISA ha avvertito che i programmi di messaggistica criptati non eliminano l’esposizione quando gli attaccanti sfruttano funzionalità come il collegamento dei dispositivi o meccanismi di recupero. Gli obiettivi di alto valore affrontano rischi maggiori perché i loro dispositivi personali spesso contengono materiale sensibile legato ai compiti professionali. L’agenzia ha osservato che le piattaforme di messaggistica sono diventate punti strategici di interesse per le intrusioni perché gli attaccanti considerano le comunicazioni private come fonti preziose di intelligence.
L’avviso raccomanda agli utenti di verificare tutti i dispositivi collegati all’interno dei loro programmi di messaggistica ed evitare di scansionare i codici QR o approvare richieste di connessione da fonti sconosciute. CISA indirizzava gli utenti verso linee guida incluse nella Guida alle Migliori Pratiche delle Comunicazioni Mobili per individui di alto valore e una risorsa aggiuntiva per i gruppi della società civile che operano con risorse limitate. Si incoraggia gli utenti ad abilitare le opzioni di autenticazione più forti disponibili, a rivedere l’attività degli account e a rimuovere le associazioni dei dispositivi non riconosciuti.
Gli analisti della sicurezza hanno affermato che il passaggio ai metodi zero-click indica che gli attaccanti stanno investendo in tecniche che aggirano le protezioni comuni. Secondo l’avviso, chi gestisce informazioni sensibili dovrebbe considerare la sicurezza dei dispositivi personali come parte essenziale della loro strategia operativa più ampia di rischio. Le piattaforme di messaggistica continuano ad attirare l’interesse degli attori minacciosi che cercano accesso a conversazioni private, liste di contatti e credenziali di autenticazione.