Computing
ΗΠΑ προσφέρουν $10 εκατ. για πληροφορίες για χάκερ του Signal και WhatsApp
Μια συντονισμένη εκστρατεία phishing έχει παραβιάσει χιλιάδες λογαριασμούς δημοσιογράφων και υπαλλήλων των ΗΠΑ στο Signal και το WhatsApp, με στόχο την ανάγνωση μηνυμάτων και την πρόσβαση σε παλαιότερες συνομιλίες. Το άρθρο εξηγεί το πώς λειτουργεί η επίθεση, ποιοι αναφέρονται ως υπεύθυνοι και ποια μέτρα οφείλουν να λάβουν οι χρήστες.
Οι αμερικανικές ομοσπονδιακές αρχές ανακοίνωσαν ανταμοιβή για πληροφορίες που θα οδηγήσουν στην ταυτοποίηση μιας ομάδας κυβερνοεπιθέσεων, η οποία έχει παραβιάσει χιλιάδες λογαριασμούς στα μηνύματα Signal και WhatsApp. Η εκστρατεία, που φαίνεται να στοχεύει δημοσιογράφους, υπηρεσιακούς παράγοντες και άλλα άτομα «υψηλής πληροφοριακής αξίας», εξελίσσεται με μεθόδους social engineering και εκμετάλλευσης λειτουργιών απομακρυσμένης σύνδεσης και backup.
Στο επίκεντρο βρίσκεται η πρακτική όπου οι επιτιθέμενοι μεταμφιέζονται ως υπηρεσίες υποστήριξης ή αυτοματοποιημένα μηνύματα, ζητώντας από τα θύματα να κάνουν «σύνδεση» νέας συσκευής ή να στείλουν κωδικούς ανάκτησης. Αν οι χρήστες συμμορφωθούν, χάνουν τον έλεγχο του λογαριασμού τους ή δίνουν πρόσβαση και σε παλαιότερες συνομιλίες.
Ποιοι επηρεάστηκαν και τι αποκάλυψαν οι αρχές
Το πρόβλημα ήταν γνωστό στις αρχές τουλάχιστον από τον Μάρτιο, όταν το FBI δημοσίευσε πρώτη προειδοποίηση για τις στοχευμένες phishing καμπάνιες. Η πρόσφατη ενημέρωση του FBI ανέφερε ότι οι επιθέσεις έχουν εξελιχθεί: πέρα από τα κλασικά αιτήματα για κωδικούς σύνδεσης, οι κακόβουλοι διαχειριστές ζητούν τώρα και τους μακρινούς κωδικούς ανάκτησης των backup, επιτρέποντας έτσι την πρόσβαση σε προηγούμενες συνομιλίες.
Σύμφωνα με τις αναφορές, εκατοντάδες έως χιλιάδες λογαριασμοί έχουν ήδη παραβιαστεί, με στόχο «άτομα υψηλής πληροφοριακής αξίας» —ένα eufemism που περιλαμβάνει εν ενεργεία και τέως αξιωματούχους, στελέχη του στρατού, πολιτικά πρόσωπα και ειδικούς δημοσιογράφους. Η διαρροή ή η παρακολούθηση τέτοιων συνομιλιών μπορεί να έχει άμεσες επιπτώσεις σε εθνική ασφάλεια και σε διεθνείς έρευνες.
Πώς δουλεύει η επίθεση: linking, κωδικοί και backups
Η μέθοδος είναι απλή σε κοινωνική μηχανική αλλά αποτελεσματική. Οι επιτιθέμενοι στέλνουν μηνύματα που μοιάζουν με ειδοποιήσεις από την εφαρμογή —π.χ. δήθεν ενημερώσεις ασφαλείας, οδηγίες για υποχρεωτικό two‑factor ή προτροπές για δημιουργία backup— και περιλαμβάνουν οδηγίες για «σύνδεση» νέας συσκευής ή για την αντιγραφή ενός recovery key.
Στο Signal, υπάρχει δυνατότητα σύνδεσης επιπλέον συσκευών μέσω QR ή ειδικού κωδικού που συνδέει έναν client με τον κεντρικό λογαριασμό. Επίσης, το Signal προσφέρει μηχανισμούς για τοπικά κρυπτογραφημένα backups (σε Android) που προστατεύονται από μακρύ κωδικό ανάκτησης. Αν όμως ένας χρήστης αποστείλει αυτόν τον κωδικό στον επιτιθέμενο, τότε ο επιτιθέμενος αποκτά πρόσβαση και σε παλαιότερες συνομιλίες.
Η ίδια λογική ισχύει και για το WhatsApp, όπου η σύνδεση νέων συσκευών —ή η μεταφορά λογαριασμού σε άλλη συσκευή— απαιτεί ψηφιακούς κωδικούς επιβεβαίωσης. Αν οι επιτιθέμενοι καταφέρουν να υποκλέψουν τον κωδικό αυτό —π.χ. μέσω phishing ή SIM swap— μπορούν να αναλάβουν τον λογαριασμό. Επιπλέον, τα cloud backups (Google Drive, iCloud) δεν κρυπτογραφούνται με end‑to‑end τρόπο από την εφαρμογή εκτός αν ο χρήστης επιλέξει πρόσθετες ρυθμίσεις, κάτι που αυξάνει τον κίνδυνο εάν οι επιτιθέμενοι αποκτήσουν πρόσβαση σε αυτά.
Τα ονόματα πίσω από τις επιθέσεις και τι σημαίνουν οι «UNC» ετικέτες
Στις ανακοινώσεις των υπηρεσιών γίνεται λόγος για δύο ομάδες που παρακολουθούνται ως UNC5792 και UNC4221. Οι ετικέτες αυτές συνήθως χρησιμοποιούνται από εταιρείες κυβερνοασφάλειας και αναλυτές για να κατηγοριοποιήσουν δράσεις που φαίνεται να προέρχονται από την ίδια ομάδα ή να μοιράζονται κοινά χαρακτηριστικά επιθέσεων, χωρίς όμως πάντα να αποτελούν τελική – αποδεδειγμένη — απόδοση ευθύνης.
Η αμερικανική ενημέρωση συνδέει τις επιθέσεις με ρωσικές υπηρεσίες ή ομάδες που εργάζονται για κράτη, όμως η ακριβής ταυτότητα και οι σχέσεις μεταξύ αυτών των ομάδων παραμένουν αντικείμενο έρευνας και διεθνούς συνεργασίας. Το γεγονός ότι οι αρχές μιλούν για «κρατικές» ομάδες υπογραμμίζει τη συστηματικότητα και την υποδομή πίσω από τις εκστρατείες, που ξεπερνάει το επίπεδο του μεμονωμένου εγκληματία στο διαδίκτυο.
Γιατί στόχος οι δημοσιογράφοι και οι δημόσιοι λειτουργοί
Οι δημοσιογράφοι ερευνητές αποτελούν ευπαθή ομάδα στόχο επειδή οι συνομιλίες τους εμπεριέχουν πηγές, αποδεικτικά στοιχεία, συνεντεύξεις και ευαίσθητες πληροφορίες. Η παρακολούθηση τέτοιων συνομιλιών μπορεί να οδηγήσει σε εκφοβισμό των πηγών, εκτίναξη ρίσκου για ερευνητικές υποθέσεις και γεωπολιτικές συνέπειες όταν εμπλέκονται επίσημες δομές.
Παρόμοια, αξιωματούχοι και στρατιωτικό προσωπικό μεταφέρουν πληροφορίες που έχουν σημαντικό επιχειρησιακό χαρακτήρα. Η πρόσβαση σε αυτά τα δεδομένα όχι μόνο παραβιάζει την ιδιωτικότητα αλλά μπορεί να καταστήσει δυνατές επιχειρήσεις επιρροής ή διαρροής επιβλαβών πληροφοριών σε ευαίσθητες στιγμές.
Τι μπορούν να κάνουν οι χρήστες: πρακτικές συμβουλές ασφαλείας
Οι βασικοί κανόνες είναι γνωστοί αλλά αξίζει να επαναλαμβάνονται και να γίνονται πιο συγκεκριμένοι για χρήστες υψηλού ρίσκου. Κατ’ αρχάς, ποτέ μην προωθείτε ή στέλνετε κωδικούς επιβεβαίωσης, recovery keys ή passcodes σε οποιονδήποτε, ακόμα κι αν το μήνυμα φαίνεται ότι προέρχεται από την υποστήριξη της εφαρμογής.
Ενεργοποιήστε όλα τα διαθέσιμα μέσα προστασίας: στο Signal χρησιμοποιήστε την εγγραφή PIN/Registration Lock και αποφύγετε τη χρήση cloud backup όταν δεν είναι απολύτως απαραίτητο. Όσοι χρησιμοποιούν WhatsApp θα πρέπει να ενεργοποιήσουν τον κωδικό δύο βημάτων (two‑step verification), να προστατεύσουν το SIM τους με PIN και να εξετάσουν τη χρήση φυσικών security keys όπου είναι υποστηριζόμενα.
Επιπλέον, ελέγχετε τακτικά τις συνδεδεμένες συσκευές μέσα στις ρυθμίσεις της εφαρμογής και αποσυνδέστε άγνωστες συνεδρίες. Μην ακολουθείτε συνδέσμους σε μηνύματα που ζητούν επιβεβαίωση ή backup —προτιμήστε να ανοίξετε την εφαρμογή και να ελέγξετε τις ρυθμίσεις χειροκίνητα. Τέλος, σκεφτείτε να διατηρείτε επικοινωνίες ιδιαίτερης ευαισθησίας σε ξεχωριστή συσκευή ή σε εφαρμογές που δεν χρησιμοποιούνται για τους καθημερινούς διαλόγους.
Τι αλλάζει στην πράξη για πλατφόρμες και πολιτική ασφάλειας
Η υπόθεση αναδεικνύει δύο παράλληλες προκλήσεις: την ανάγκη για καλύτερη σχεδίαση προϊόντων που να μην επιτρέπουν εύκολη εκμετάλλευση ανθρώπινων αδυναμιών και την αναγκαιότητα ενισχυμένης διεθνούς συνεργασίας στην επιβολή του νόμου. Οι πλατφόρμες μηνυμάτων έχουν τη δυνατότητα να βελτιώσουν την επικοινωνία ασφάλειας προς τους χρήστες, να περιορίσουν τις χρήσιμες επιδείξεις «υποστήριξης» μέσα στην εφαρμογή και να ενσωματώσουν περισσότερο αυστηρές προειδοποιήσεις όταν εντοπίζονται ασυνήθιστες προσπάθειες σύνδεσης.
Παράλληλα, η προσφορά ανταμοιβής —έως $10 εκατ. όπως ανακοινώθηκε— λειτουργεί ως εργαλείο συλλογής πληροφοριών αλλά δεν αποτελεί πανάκεια. Η δίωξη ομάδων που ενεργούν υπό κρατική καθοδήγηση απαιτεί διπλωματικές κινήσεις, τεχνική συνεργασία και μακροπρόθεσμο έλεγχο των ψηφιακών υποδομών. Η δημόσια αποκάλυψη και η υποστήριξη των θυμάτων από ανεξάρτητες οργανώσεις ασφάλειας και δημοσιογραφίας παραμένει κρίσιμη.
Τι σημαίνει για τους χρήστες
Στην πράξη, η είδηση είναι διφορούμενη: από τη μία, δείχνει ότι οι αρχές παίρνουν σοβαρά τον κίνδυνο και επενδύουν σε πληροφορίες· από την άλλη, επιβεβαιώνει ότι ακόμη και εφαρμογές με end‑to‑end κρυπτογράφηση δεν είναι αλάνθαστες όταν οι χρήστες παγιδεύονται με social engineering. Η ουσία είναι ότι η ασφάλεια δεν είναι ποτέ μόνο τεχνικό ζήτημα: είναι συνδυασμός τεχνολογίας, πολιτικής και ανθρώπινης συμπεριφοράς.
Οι χρήστες υψηλού ρίσκου πρέπει να αναβαθμίσουν τις πρακτικές τους άμεσα: να αντιμετωπίζουν με σκεπτικισμό κάθε μήνυμα που ζητά ενέργειες σύνδεσης, να ενισχύσουν τα επίπεδα επαλήθευσης, να περιορίσουν την ανάθεση backups σε cloud χωρίς επιπλέον κρυπτογράφηση και να διατηρούν συνήθειες που μειώνουν την πιθανότητα επιτυχούς phishing. Ταυτόχρονα, οι πλατφόρμες οφείλουν να διευκολύνουν αυτές τις πρακτικές και να παρέχουν ξεκάθαρες, ορατές προειδοποιήσεις για επικίνδυνες ενέργειες.