Desde Rusia sin amor: Google da la voz de alarma sobre el aumento de ataques al WhatsApp privado

Google ha identificado a varios grupos conocidos de ciberdelincuentes asociados a Rusia que usan Signal para comprometer las comunicaciones, también en WhatsApp y Telegram. La amenaza no solo afecta a objetivos militares, sino también a otro tipo de usuarios.
El grupo especializado de Google en ciberseguridad, Google Threat Intelligence Group –GTIG, por sus siglas en inglés– ha alertado en un comunicado sobre una campaña rusa para conseguir datos personales de usuarios de Signal, una alternativa más privada y segura que WhatsApp.
Según ha detallado Google, es más que probable que esta campaña de ciberataques alineada con los intereses de Rusia, se deba a la intención de comprometer comunicaciones militares y gubernamentales sensibles en el contexto de la guerra en Ucrania.
Ahora bien, la multinacional estadounidense ha destacado que dichas tácticas continuarán a corto plazo, y no solo en el contexto de la guerra, sino también dirigidas a personalidades como periodistas, políticos, activistas y otras comunidades, debido a que estos apuestan por Signal como lugar seguro.
"[Esto] ha posicionado la aplicación de mensajería segura como un objetivo de alto valor para los adversarios que buscan interceptar información sensible, y que podría cumplir una serie de diferentes requisitos de inteligencia", ha añadido el grupo de inteligencia de Google.
Más aún, esta amenaza presente en Signal también se da en términos generales en otras aplicaciones como WhatsApp o Telegram, que son también un "blanco activo" de los actores de amenazas, o APT.
Para garantizar la seguridad de los usuarios, Google ha detallado cuáles son las herramientas y tácticas usadas por estos actores de amenaza asociados a Rusia.
Operaciones de phishing muy sofisticadas
La modalidad de este ciberataque es realmente curiosa, ya que afecta a la opción de Dispositivos vinculados disponible no solo en Signal, sino también en las mencionadas WhatsApp y Telegram, lo que permite conectar simultáneamente varios dispositivos con la misma cuenta.
Así, un supuesto grupo de espionaje ruso citado por el grupo de inteligencia de Google, conocido como UNC5792, ha sido capaz de modificar la página legítima de redirección de Signal, lo que provoca que la cuenta del usuario en cuestión se conecte a un terminal controlado por este actor de amenaza.
En este sentido, la investigación ha podido comprobar que el código JavaScript ha sido modificado para redirigir el tráfico a dichos dispositivos del grupo de ciberatacantes, con lo cual estos tendrán acceso a todos los datos personales de conversaciones en Signal.

Otro de los ataques de phising identificados por Google corresponde al grupo UNC4221 que usa códigos QR ilegítimos muy parecidos a los de Signal, lo que les permite acceder a datos muy relevantes de geolocalización en objetivos militares.
A su vez, los ciberataques también se han relacionado con APT44, otro actor de amenaza vinculado a Rusia. Para proteger a usuarios y organizaciones privadas, Google ha realizado una extensa lista con los indicadores de compromiso.
En el caso de APT44, el modus operandi es prácticamente el mismo, aunque este grupo también ha elegido un malware de Android, conocido como Infamous Chisel, para hacerse con datos de base de Signal, junto a un script adaptado a Windows, denominado WAVESIGN.
Este último permite consultar periódicamente los mensajes de la víctima y clonarlos al dispositivo del atacante mediante el uso de Rclone, una línea de comandos para gestionar archivos y el almacenamiento en la nube.
Y el grupo de seguridad de Google también ha extendido su preocupación más allá del malware y el phishing: "[Esta amenaza] también incluye de manera crítica operaciones de acceso cercano donde un actor de amenaza puede asegurar un breve acceso al dispositivo desbloqueado de un objetivo".
En conclusión, Google ha lanzado esta "advertencia pública" debido al gran riesgo que conlleva este tipo de ataques organizados, no solo para los usuarios de Signal, sino también para los de cualquier aplicación de mensajería instantánea.
