Angebot für Mehrfachlizenz-Rabatt
Computersicherheit Russische Hacker nutzen Signals Funktion „Verknüpfte...

Russische Hacker nutzen Signals Funktion „Verknüpfte Geräte“, um verschlüsselte Gespräche auszuspionieren

Von Mura in Computersicherheit
Übersetzen Sie in:
Deutsch

Cybersicherheitsexperten schlagen Alarm, nachdem sie eine heimliche Hackerkampagne durch vom russischen Staat gesponserte Angreifer aufgedeckt haben. Diese kapern Signal Messenger-Konten, um private, verschlüsselte Gespräche in Echtzeit abzuhören.

In einer kürzlich veröffentlichten Untersuchung warnen Sicherheitsforscher von Mandiant, einer Abteilung von Google, dass mehrere russische Advanced Persistent Threat (APT)-Gruppen eine wirksame Methode entwickelt hätten, um die Funktion „verknüpfte Geräte“ von Signal zu kompromittieren – eine wichtige Funktion, die es Benutzern ermöglicht, ihre sichere Messaging-App über mehrere Telefone, Tablets oder Computer hinweg zu synchronisieren.

Dieser Komfort wird jedoch zu einer gefährlichen Waffe umfunktioniert. Indem sie verknüpfte Geräte ausnutzen, können Hacker unbemerkt auf die Konten der Opfer zugreifen und deren verschlüsselte Nachrichten überwachen, ohne die Ende-zu-Ende-Verschlüsselung von Signal zu knacken. Sobald der Zugriff erfolgt ist, wird jede Nachricht direkt an die Angreifer kopiert – ohne dass das Ziel davon etwas erfährt.

So funktioniert der Angriff: QR-Code-Phishing und Geräte-Hijacking

Die Methode der Hacker beruht auf Täuschung. Die Opfer werden dazu verleitet, bösartige QR-Codes zu scannen, die wie legitime Signal-Gruppeneinladungen oder Anweisungen zum Koppeln von Geräten aussehen. Nach dem Scannen wird das Gerät der Angreifer heimlich als „verknüpftes Gerät“ zum Signal-Konto des Opfers hinzugefügt.

Von diesem Moment an werden alle Nachrichten – sowohl gesendete als auch empfangene – in Echtzeit auf das System des Angreifers gespiegelt. Dadurch wird die robuste Verschlüsselung von Signal umgangen, da die Angreifer nun autorisierte Teilnehmer sind, die die Verschlüsselung nicht brechen, sich aber heimlich in die Konversation einklinken.

Der Bericht von Mandiant hebt Folgendes hervor:

  • Es wurde beobachtet, dass mit dem Kreml verbündete russische APT-Gruppen diese Methode bei Phishing-Angriffen verwendeten, die auf Militärangehörige, Politiker, Journalisten und Aktivisten abzielten – Personen, die sich für eine sichere Kommunikation üblicherweise auf Signal verlassen.
  • Diese Phishing-Seiten ahmen oft die offizielle Benutzeroberfläche von Signal nach oder geben sich als vertrauenswürdige Apps aus, wie etwa Kropyva, das Artillerieleitsystem des ukrainischen Militärs.
  • In Gefechtsszenarien wurden russische Streitkräfte dabei ertappt, wie sie erbeutete Geräte nutzten, um Signal-Konten mit ihren Servern zu verknüpfen und so Informationen zu sammeln.

Unsichtbarer Zugriff: Warum dieser Exploit so gefährlich ist

Einer der besorgniserregendsten Aspekte dieses Angriffs ist, wie leise er abläuft. Signal-Benutzer erhalten normalerweise keine auffälligen Benachrichtigungen, wenn ein neues Gerät mit ihrem Konto verknüpft wird. Dies ermöglicht es Hackern, eine langfristige Überwachung aufrechtzuerhalten, ohne entdeckt zu werden.

Mandiant beschreibt die Technik als „Low-Signature-Form des Erstzugriffs“, was bedeutet, dass sie kaum Spuren hinterlässt. Wenn Opfer ihre „Verknüpften Geräte“-Einstellungen nicht aktiv überprüfen, können sie monatelang – oder sogar länger – nicht wissen, dass ihre privaten Gespräche an feindliche Akteure gesendet werden.

Größeres Ziel: Auch WhatsApp und Telegram gefährdet

Während Signal derzeit im Fokus steht, betont Mandiant, dass diese Art von Angriffen auf verknüpfte Geräte nicht nur Signal vorbehalten ist. Russische Hacker wenden ähnliche Taktiken auch gegen andere weit verbreitete Messaging-Apps an, darunter WhatsApp und Telegram.

Alle diese Apps ermöglichen die Synchronisierung mehrerer Geräte. Der Einfachheit halber werden bei diesem Vorgang häufig QR-Codes verwendet, was sie anfällig für Missbrauch durch Phishing macht.

Spionage in der realen Welt: Militärische und politische Ziele

Der Hauptfokus der Angreifer liegt offenbar auf der Sammlung von Informationen über hochrangige Einzelpersonen und Gruppen, darunter:

  • Ukrainisches Militärpersonal
  • Europäische Politiker
  • Investigative Journalisten
  • Menschenrechtsaktivisten

Bei einer besonders raffinierten Operation setzte die berüchtigte russische Hackergruppe Sandworm diese Technik auf dem Schlachtfeld ein. Nachdem sie die Telefone feindlicher Soldaten gekapert hatten, verbanden sie die Geräte mit ihrer Infrastruktur und konnten so militärische Kommunikation in Echtzeit ausspionieren.

Anzeichen dafür, dass Sie kompromittiert sein könnten

Da diese Angriffsmethode so konzipiert ist, dass sie unbemerkt erfolgt, ist eine Selbstprüfung von entscheidender Bedeutung. Hier sind einige Schritte zum Erkennen und Verhindern unbefugten Zugriffs:

  1. Überprüfen Sie verknüpfte Geräte regelmäßig: Öffnen Sie Ihre Signal-App, gehen Sie zu Einstellungen → Verknüpfte Geräte und überprüfen Sie die Liste sorgfältig. Wenn Sie ein unbekanntes Gerät sehen, trennen Sie die Verknüpfung sofort.
  • Bildschirmsperre aktivieren: Verwenden Sie ein langes, komplexes Passwort für Ihr Telefon. Dadurch wird es für jemanden schwieriger, ein Gerät zu verknüpfen, wenn er kurzzeitig physischen Zugriff darauf erhält.
  • Bleiben Sie auf dem Laufenden: Installieren Sie immer die neueste Version von Signal und anderen Messaging-Apps. Updates enthalten oft Sicherheitsverbesserungen, die Angriffsflächen reduzieren können.
  • Vorsicht bei QR-Codes: Seien Sie bei unerwarteten QR-Codes misstrauisch, auch wenn sie scheinbar von einer vertrauenswürdigen Quelle stammen. Überprüfen Sie Gruppeneinladungen vor dem Scannen direkt beim Absender.
  • Verwenden Sie die Multi-Faktor-Authentifizierung (MFA): Obwohl Signal selbst keine MFA zum Verknüpfen von Geräten unterstützt, kann die Aktivierung der Zwei-Faktor-Authentifizierung für die Cloud-Backups und Konten Ihres Smartphones eine zusätzliche Schutzebene bieten.

    • Was Signal-Nutzer jetzt tun sollten

    Der Bericht von Mandiant ist eine ernüchternde Erinnerung daran, dass keine App vor Missbrauch gefeit ist – insbesondere wenn es sich um staatliche Akteure mit enormen Ressourcen handelt. Die End-to-End-Verschlüsselung von Signal ist nach wie vor robust, aber dieser Angriff umgeht die Verschlüsselung, indem er menschliches Verhalten und die praktische Gerätesynchronisierung der App ausnutzt.

    Wenn Sie in einem sensiblen Beruf tätig sind oder in einer Region mit aktiver Überwachungsbedrohung leben, sollte die Überprüfung Ihrer Signal-Sicherheitseinstellungen zur regelmäßigen Gewohnheit werden.

    Sicherheitsexperten betonen, dass Wachsamkeit das A und O ist:

    • Hochrisikobenutzer (Militärpersonal, Journalisten, Aktivisten) sollten die verbundenen Geräte wöchentlich überprüfen.
    • Vermeiden Sie das Scannen von QR-Codes, es sei denn, Sie sind sich ihrer Quelle absolut sicher.
    • Melden Sie verdächtige Nachrichten oder Phishing-Versuche dem IT-Team Ihres Unternehmens oder Ihrem Cybersicherheitsanbieter.

    Eine neue Ära der stillen Überwachung

    Die Nutzung der Funktion „verknüpfte Geräte“ von Signal markiert eine beängstigende Entwicklung in der staatlich unterstützten Cyber-Spionage. Im Gegensatz zu Malware, die Spuren hinterlässt oder Systeme stört, arbeitet diese Methode leise und bleibt im Hintergrund, während vertrauliche Gespräche an russische Geheimdienste weitergeleitet werden.

    Wird geladen...