Các tác nhân đe dọa liên kết với Cơ quan Tình báo Nga đang thực hiện các chiến dịch lừa đảo (phishing campaigns) nhằm xâm nhập các ứng dụng nhắn tin thương mại (CMA) như WhatsApp và Signal để chiếm quyền kiểm soát các tài khoản thuộc về những cá nhân có giá trị tình báo cao, theo thông báo của Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) và Cục Điều tra Liên bang (FBI) vào thứ Sáu.
"Chiến dịch này nhắm mục tiêu vào các cá nhân có giá trị tình báo cao, bao gồm các quan chức chính phủ Hoa Kỳ đương nhiệm và đã nghỉ hưu, nhân viên quân sự, nhân vật chính trị và nhà báo," Giám đốc FBI Kash Patel cho biết trong một bài đăng trên X. "Trên toàn cầu, nỗ lực này đã dẫn đến việc truy cập trái phép vào hàng ngàn tài khoản cá nhân. Sau khi giành được quyền truy cập, các tác nhân có thể xem tin nhắn và danh sách liên hệ, gửi tin nhắn dưới danh nghĩa nạn nhân và thực hiện lừa đảo bổ sung từ một danh tính đáng tin cậy."
CISA và FBI cho biết hoạt động này đã khiến hàng ngàn tài khoản CMA cá nhân bị xâm nhập. Điều đáng chú ý là các cuộc tấn công được thiết kế để đột nhập vào các tài khoản mục tiêu và không khai thác bất kỳ lỗ hổng bảo mật hoặc điểm yếu nào để phá vỡ các biện pháp bảo vệ mã hóa của nền tảng.
Mặc dù các cơ quan không quy kết hoạt động này cho một tác nhân đe dọa cụ thể, nhưng các báo cáo trước đây từ Microsoft và Google Threat Intelligence Group đã liên kết các chiến dịch như vậy với nhiều nhóm tác nhân đe dọa liên kết với Nga được theo dõi dưới tên Star Blizzard, UNC5792 (hay còn gọi là UAC-0195) và UNC4221 (hay còn gọi là UAC-0185).
Các cuộc tấn công lừa đảo mục tiêu
Trong một cảnh báo tương tự, Trung tâm Điều phối Khủng hoảng Mạng (C4), một phần của Cơ quan An ninh mạng Quốc gia Pháp (ANSSI), đã cảnh báo về sự gia tăng các chiến dịch tấn công nhắm vào các tài khoản nhắn tin tức thời liên quan đến các quan chức chính phủ, nhà báo và lãnh đạo doanh nghiệp.
"Những cuộc tấn công này – khi thành công – có thể cho phép các tác nhân độc hại truy cập vào lịch sử cuộc trò chuyện, hoặc thậm chí chiếm quyền kiểm soát tài khoản nhắn tin của nạn nhân và gửi tin nhắn trong khi mạo danh họ," C4 cho biết.
Mục tiêu cuối cùng của chiến dịch là cho phép các tác nhân đe dọa giành quyền truy cập trái phép vào tài khoản của nạn nhân, cho phép họ xem tin nhắn và danh sách liên hệ, gửi tin nhắn dưới danh nghĩa của nạn nhân và thậm chí thực hiện lừa đảo thứ cấp (secondary phishing) chống lại các mục tiêu khác bằng cách lợi dụng các mối quan hệ đáng tin cậy.
Như các cơ quan an ninh mạng từ Đức và Hà Lan đã cảnh báo gần đây, cuộc tấn công liên quan đến việc kẻ tấn công mạo danh "Signal Support" để tiếp cận mục tiêu và thúc giục họ nhấp vào một liên kết (hoặc thay vào đó quét mã QR) hoặc cung cấp mã PIN hoặc mã xác minh. Trong cả hai trường hợp, kế hoạch kỹ thuật xã hội (social engineering scheme) này cho phép các tác nhân đe dọa giành quyền truy cập vào tài khoản CMA của nạn nhân.
Tuy nhiên, chiến dịch này có hai kết quả khác nhau đối với nạn nhân tùy thuộc vào phương pháp được sử dụng:
- Nếu nạn nhân chọn cung cấp mã PIN hoặc mã xác minh cho tác nhân đe dọa, họ sẽ mất quyền truy cập vào tài khoản của mình, vì kẻ tấn công đã sử dụng nó để khôi phục tài khoản ở phía chúng. Mặc dù tác nhân đe dọa không thể truy cập các tin nhắn cũ, nhưng phương pháp này có thể được sử dụng để theo dõi các tin nhắn mới và gửi tin nhắn cho người khác bằng cách mạo danh nạn nhân.
- Nếu nạn nhân nhấp vào liên kết hoặc quét mã QR, một thiết bị do tác nhân đe dọa kiểm soát sẽ được liên kết với tài khoản của nạn nhân, cho phép chúng truy cập tất cả các tin nhắn, bao gồm cả những tin nhắn đã gửi trong quá khứ. Trong kịch bản này, nạn nhân vẫn có quyền truy cập vào tài khoản CMA trừ khi họ bị xóa rõ ràng khỏi cài đặt ứng dụng.
Lời khuyên phòng ngừa và bảo vệ
Để bảo vệ tốt hơn khỏi mối đe dọa, người dùng được khuyến cáo không bao giờ chia sẻ mã SMS hoặc mã PIN xác minh của mình với bất kỳ ai, thận trọng khi nhận được tin nhắn không mong muốn từ các liên hệ không xác định, kiểm tra các liên kết trước khi nhấp vào chúng và định kỳ xem xét các thiết bị đã liên kết và xóa những thiết bị có vẻ đáng ngờ.
"Những cuộc tấn công này, giống như tất cả các cuộc lừa đảo (phishing), đều dựa vào kỹ thuật xã hội (social engineering). Kẻ tấn công mạo danh các liên hệ hoặc dịch vụ đáng tin cậy (chẳng hạn như 'Signal Support Bot' không tồn tại) để lừa nạn nhân giao nộp thông tin đăng nhập hoặc thông tin khác của họ," Signal cho biết trong một bài đăng trên X vào đầu tháng này.
"Để giúp ngăn chặn điều này, hãy nhớ rằng mã xác minh SMS của Signal của bạn chỉ cần thiết khi bạn lần đầu tiên đăng ký ứng dụng Signal. Chúng tôi cũng muốn nhấn mạnh rằng Signal Support sẽ *không bao giờ* chủ động liên hệ qua tin nhắn trong ứng dụng, SMS hoặc mạng xã hội để yêu cầu mã xác minh hoặc mã PIN của bạn. Nếu bất kỳ ai yêu cầu bất kỳ mã nào liên quan đến Signal, đó là một vụ lừa đảo."
