CISA алармира: високопоставени личности в множество държави са обект на прецизни кампании със spyware и фишинг

Киберпрестъпни и държавно подкрепени групи използват популярни криптирани приложения за комуникация като WhatsApp, Signal и Telegram, за да проникват в устройствата на „висока стойност“ – от държавни служители до ръководители на неправителствени организации. Американската CISA издаде национално предупреждение, стъпило на множество разследвания, публикувани през последните месеци.

Открита тенденция: насочване към влиятелни личности

Според CISA, целта са главно:

• действащи и бивши държавни и военни лидери,

• политически фигури,

• експерти и директори в неправителствения сектор,

• лидери на благотворителни и правозащитни организации.

Атаките имат за цел пълен контрол над лични устройства, продължително следене и достъп до чувствителни комуникации.

Как действат атакуващите: комбинация от социално инженерство и експлойти

Според бюлетина на CISA, заплахите включват:

• фишинг и зловредни QR кодове, които „свързват“ профила на жертвата към устройство, контролирано от нападателите;

• zero-click експлойти, при които жертвата не трябва да предприема никакво действие;

• имитация на легитимни платформи, включително фалшиви известия от Signal или WhatsApp;

• допълнителни payload-и, доставени след първоначалния достъп.

Тези техники позволяват на заплахите да се внедрят дискретно и дългосрочно в телефона на жертвата.

2025: година на държавните кибероперации

Руски групи използват „linked devices“ фичъра на Signal

Една от най-ранните кампании през 2025 г. е свързана с руски държавни хакери, включително Sandworm и Turla. Изследователите от Google Threat Intelligence Group откриват, че групите използват функцията за свързване на устройства в Signal, като злоупотребяват с QR кода за добавяне на нов клиент.

След успешна манипулация съобщенията на жертвата се доставят едновременно до нейното устройство и до устройството на атакуващия – без необходимост от пълен пробив.

Това на практика е zero-click шпионаж през сигурна платформа.

Техниките се прехвърлят и към WhatsApp и Telegram

GTIG наблюдава повторно използване на същите методи и по отношение на други криптирани месинджъри.

Landfall: Android шпионин, внедрен чрез PNG изображение

Анализ на Unit 42 разкрива мощна кампания, базирана на Android spyware, известен като Landfall. Групите използват няколко zero-day уязвимости, за да атакуват:

• смартфони Samsung Galaxy,

• други устройства с Android OS.

Payload-ът е доставян чрез зловредно изображение, изпратено през WhatsApp – атака, проследена от средата на 2024 г. до началото на 2025 г.

Израелският spyware Paragon – атаки чрез зловредни документи

Друга серия нападения, приписвани на израелския шпионски софтуер Paragon, използва документи, прикрепени към WhatsApp. Жертвите са разпръснати в приблизително две дузини държави, включително Европа и Близкия изток.

Ескалацията на WhatsApp-базираните атаки дори довежда до:

• забрана за използване на WhatsApp на личните устройства на членовете на американския Конгрес;

• преминаване на служители на администрацията към Telegram;

• медиен скандал, известен като „Signalgate“.

Други кампании: ClayRat и ProSpy

CISA посочва още две активни линии на атаки:

• ClayRat – spyware, разпространяван чрез фалшиви Telegram канали и phishing сайтове, използван срещу руски граждани;

• ProSpy – атаки чрез фалшиви Signal плъгини, инсталирани под претекст за разширени функции.

И двете кампании показват, че заплахите вече не са ограничени до политически цели – те обхващат и широк кръг граждани.

Какво препоръчва CISA

За намаляване на риска, агенцията призовава потребителите да следват два ключови ресурса:

• Mobile Communications Best Practices Guide – насочен към високопоставени и високорискови потребители;

• Mitigating Cyber Threats with Limited Resources – ориентиран към организации в неправителствения сектор.

Основните препоръки включват:

• използване на хардуерни ключове,

• редовни обновления на операционната система,

• забрана за автоматично свързване на устройства,

• ограничаване на приложенията с достъп до чувствителни данни.

Мобилните приложения за криптирана комуникация остават критична инфраструктура за държавни структури, активисти и граждани. Но 2025 показва категорично, че криптираният канал не е достатъчна защита, когато заплахата идва от zero-click експлойти, социално инженерство и държавно финансирани spyware платформи.
Защитата изисква не само технологии, но и знания, поведение и постоянна бдителност.