Thought Leadership
Verschlüsselte Messenger Dienste gelten eigentlich als sicherer Kommunikationskanal. Genau diese Plattformen geraten jedoch vermehrt ins Visier von Cyberkriminellen.
Nach Erkenntnissen der US-Behörde CISA nutzen verschiedene Gruppen Messaging Apps wie WhatsApp, Signal und Telegram, um gezielt Schadsoftware zu verbreiten. Das Ziel dieser Kampagnen sind vor allem Personen mit hohem Einfluss, darunter Regierungsmitglieder, Militärs, politische Entscheider und Führungskräfte aus zivilgesellschaftlichen Organisationen.
Die Angreifer versuchen, die privaten Mobilgeräte der Betroffenen zu kompromittieren und langfristig Zugriff zu behalten. Laut einer Analyse, die CISA in einem nationalen Sicherheitshinweis veröffentlicht hat, geschehen diese Angriffe zunehmend über ausgefeilte Social Engineering Methoden innerhalb der Messenger selbst.
Wie Angreifer sich Zugang zu Geräten verschaffen
Die aktuelle Bedrohungslage wird von verschiedenen Forschungsteams bestätigt, darunter das Google Threat Intelligence Group Team und Palo Altos Unit 42. Viele der Attacken setzen auf bekannte Angriffsmethoden. Dazu gehören täuschend echte Phishing Nachrichten, manipulierte QR Codes zur Verknüpfung von Geräten sowie zero click Exploits, die ohne Nutzeraktion funktionieren. Teilweise treten die Angreifer auch als vermeintliche Support Teams der betroffenen Messenger Dienste auf.
Besonders brisant sind Angriffe, die Schwachstellen im Feature zur Geräteverknüpfung ausnutzen. Über diesen Weg gelang es unter anderem russischen staatlichen Akteuren, Zugriff auf die Signal Kommunikation ukrainischer Soldaten zu erhalten. Da bei dieser Methode keine vollständige Kompromittierung des Geräts erforderlich ist, werden Nachrichten parallel an Opfer und Angreifer zugestellt.
Beispiele für aktuelle Kampagnen
Mehrere Gruppen sollen dieselben Schwachstellen auch bei anderen Messengern erneut ausgenutzt haben. So wurden Angriffe auf WhatsApp und Telegram gemeldet, bei denen ähnliche Techniken zum Einsatz kamen.
Ein weiteres Beispiel ist die Schadsoftware Landfall, die laut Unit 42 über Sicherheitslücken in Android Geräten, insbesondere bei Samsung Smartphones, eingeschleust wurde. Die Täter verschickten dazu präparierte Bilder über WhatsApp, die den Exploit im Hintergrund aktivierten.
Auch mutmaßliche Angriffe mit dem israelischen Spionagewerkzeug Paragon wurden untersucht. Dabei wurden schädliche Dokumente über WhatsApp verbreitet, was zu globalen Vorfällen in zahlreichen Ländern führte. Die Häufung solcher Angriffe soll sogar dazu beigetragen haben, dass die US Regierung die Nutzung von WhatsApp auf privaten Geräten von Mitgliedern des Kongresses untersagte. Medienberichte zufolge wechselten daraufhin mehrere Regierungsmitglieder auf andere Messenger Plattformen, was teils als Ursprung der öffentlich diskutierten Kommunikationsaffäre rund um Signalgate gesehen wird.
Weitere in dem CISA Bericht erwähnte Kampagnen sind ClayRat, das über gefälschte Telegram Kanäle Android Schadsoftware an russische Nutzer verteilte, sowie ProSpy, bei dem manipulierte Signal Erweiterungen zum Einsatz kamen.
Schutzmaßnahmen für gefährdete Nutzergruppen
CISA verweist darauf, dass die Angriffe häufig Personen betreffen, deren Kommunikation besonders sensibel ist. Deshalb empfiehlt die Behörde allen Nutzern von Messenger Apps, ihre Geräte und Konten konsequent abzusichern. Für hochrangige Zielpersonen hat CISA seinen Leitfaden zum sicheren Umgang mit mobiler Kommunikation aktualisiert. Für Organisationen mit begrenzten Ressourcen steht zudem ein eigener Ratgeber zur Verfügung, der Strategien gegen häufige Angriffe beschreibt.
Die Behörde betont, dass selbst stark verschlüsselte Dienste nur dann Schutz bieten können, wenn Anwender auf sichere Anmeldeverfahren, aktuelle Software und vorsichtige Nutzung achten.
