Evident, Ó Cearbhaill, care conduce Laboratorul de Securitate al Amnesty International, a recunoscut imediat că aceasta era o încercare „neînțeleaptă” de a-i sparge contul Signal. În loc să o ignore, a considerat că este o oportunitate excelentă de a se lansa într-o investigație neașteptată. Cercetătorul a declarat pentru TechCrunch că, până atunci, „nu fusese niciodată conștient” că a fost vizat de un atac cibernetic de tip „un singur clic” sau de o tentativă de phishing ca aceasta. „Faptul că atacul a ajuns direct în căsuța mea poștală și șansa de a întoarce situația împotriva atacatorilor și de a înțelege mai multe despre campanie a fost prea tentantă pentru a o rata”, a spus el.
După cum s-a dovedit, tentativa de atac asupra lui Ó Cearbhaill făcea probabil parte dintr-o campanie mai amplă de hacking care viza un grup mare de utilizatori Signal. Strategiile hackerilor erau să se dea drept Signal, să avertizeze despre amenințări false de securitate și să încerce să păcălească victimele să le ofere acces la conturile lor, legându-le de un dispozitiv controlat de hackeri. Aceste tehnici erau exact aceleași cu cele observate într-o campanie mai largă despre care agenția americană de securitate cibernetică CISA, agenția britanică de securitate cibernetică și serviciile de informații olandeze au avertizat, dând vina pe spionii guvernamentali ruși. Signal însuși a avertizat despre atacurile de phishing care vizează utilizatorii săi. Revista germană Der Spiegel a descoperit că hackerii ruși au reușit să compromită mai multe persoane din Germania, inclusiv politicieni de rang înalt.
Ó Cearbhaill a spus într-o serie de postări online că a reușit să afle că el era unul dintre cei peste 13.500 de ținte. A refuzat să dezvăluie exact cum a investigat tentativa de hacking și campania, pentru a nu-și dezvălui metodele hackerilor, dar a împărtășit câteva detalii despre ceea ce a aflat. În primul rând, și-a dat seama că alte ținte includeau jurnaliști cu care colaborase, precum și un coleg. În acel moment, Ó Cearbhaill a spus că deja bănuia că acesta era un atac oportunist, în care hackerii compromiteau ținte și identificau noi potențiale victime, datorită acestor atacuri reușite. Cercetătorul a numit aceasta „ipoteza bulgărelui de zăpadă” și a spus că este convins că a devenit o țintă pentru că se afla probabil într-un chat de grup cu cineva care fusese spart, ceea ce le-a oferit hackerilor șansa de a găsi informațiile de contact ale noilor ținte.
Cercetătorul a spus că a reușit să identifice sistemul pe care îl foloseau hackerii, numit „ApocalypseZ”, care automatizează atacul, permițând hackerilor să vizeze multe persoane simultan, cu o supraveghere umană limitată. De asemenea, a descoperit că baza de cod și interfața operatorului sunt în limba rusă, iar hackerii traduceau chat-urile victimelor în rusă, ceea ce se aliniază cu ipoteza că aceasta era aceeași grupare de hackeri guvernamentali ruși din spatele unor campanii similare.
Ó Cearbhaill a spus că încă monitorizează campania și a observat că atacurile continuă, ceea ce înseamnă că numărul total de ținte este cu siguranță mult mai mare decât cel pe care l-a văzut la începutul acestui an. El a spus că se îndoiește că hackerii vor mai încerca să-l atace și probabil regretă că l-au vizat în primul rând. A adăugat: „Întâmpin cu plăcere mesajele viitoare, mai ales dacă au zero-day-uri pe care ar dori să le împărtășească”, referindu-se la vulnerabilitățile de securitate care nu sunt încă cunoscute de producător, adesea folosite în atacurile pe care le investighează.
Ó Cearbhaill a spus că, dacă utilizatorii Signal sunt îngrijorați că ar putea fi vizați de acest tip de atac, ar trebui să activeze Blocarea înregistrării (Registration Lock), o funcție care permite utilizatorilor să seteze un PIN pentru contul lor, împiedicând pe alții să-și înregistreze numărul de telefon pe un alt dispozitiv.
De ce este important:
Acest incident subliniază cât de vulnerabili suntem cu toții în fața atacurilor cibernetice sofisticate, chiar și cei mai experimentați cercetători. Faptul că hackerii ruși au vizat peste 13.500 de persoane, inclusiv jurnaliști și activiști, arată amploarea amenințării la adresa securității digitale. Signal, deși este o aplicație de mesagerie criptată, nu este imună la atacuri de phishing și inginerie socială. Lecția importantă este că utilizatorii trebuie să fie vigilenți, să activeze funcții de securitate suplimentare precum Registration Lock și să nu ofere niciodată coduri de verificare nimănui, indiferent cât de oficială pare cererea. Această investigație demonstrează, de asemenea, importanța cercetătorilor în securitate care, chiar și atunci când sunt vizați, reușesc să transforme o amenințare într-o oportunitate de a înțelege și contracara atacurile.
