Una vasta campagna di cyberattacchi russi sta prendendo di mira gli account Signal e WhatsApp di politici, militari e giornalisti in tutto il mondo. A lanciare l’allarme sono stati i servizi di intelligence olandesi, francesi e statunitensi, che hanno attribuito l’operazione a cybercriminali legati ai servizi di renseignement russi. Il dato più inquietante? Le intrusioni sono progettate per passare completamente inosservate.
Il Centro di coordinamento delle crisi cyber francese (C4) ha parlato di una «recrudescenza di campagne d’attacco mirate ai servizi di messaggistica istantanea», con l’obiettivo di accedere agli storici delle conversazioni e, nei casi peggiori, prendere il controllo completo degli account per inviare messaggi spacciandosi per la vittima. Kash Patel, direttore dell’FBI, ha confermato che migliaia di account sono già stati compromessi, sottolineando che la campagna colpisce «individui di grande interesse dal punto di vista dell’intelligence, tra cui funzionari governativi, militari e giornalisti». Lo stesso Signal ha precisato che la propria cifratura e infrastruttura non sono state violate: il problema sta tutto nelle tecniche di phishing e manipolazione psicologica usate dagli attaccanti.
Come funziona l’attacco: dal finto chatbot alla funzione Appareils liés
I pirati russi non sfruttano falle tecniche nelle app. Si spacciano, ad esempio, per un fantomatico «Signal Security Support Chatbot», un servizio di assistenza clienti fasullo che segnala presunte attività sospette sull’account. Il messaggio invita la vittima a inserire il proprio codice di verifica o il PIN di Signal nel chatbot, permettendo così agli hacker di aggirare la doppia autenticazione. Una volta ottenuti quei codici, registrano il profilo della vittima sui propri dispositivi, cambiano il numero associato e iniziano a leggere tutti i nuovi messaggi, compresi quelli nei gruppi.
La cosa particolarmente subdola è che la vittima, dopo aver perso l’accesso, può crearsi un nuovo account Signal con lo stesso numero di telefono e ritrovare la cronologia locale delle chat sul proprio telefono. Questo crea l’illusione che non sia successo nulla di grave. Nei fatti, però, qualcun altro sta leggendo ogni singolo messaggio in arrivo.
C’è poi una seconda tattica ancora più difficile da individuare. Gli hacker sfruttano la funzione Appareils liés (Dispositivi collegati) presente sia su Signal che su WhatsApp, quella che normalmente serve per collegare un computer o un tablet al proprio account. Attraverso un link o un QR code apparentemente innocuo, l’attaccante aggiunge il proprio dispositivo come apparecchio autorizzato. Da quel momento consulta lo storico delle conversazioni, legge tutto in tempo reale e può persino scrivere al posto dell’utente principale. Tutto continua a funzionare normalmente, ed è proprio per questo che il pirataggio risulta quasi impossibile da individuare.
Le raccomandazioni per proteggersi
I servizi olandesi hanno sottolineato che, sebbene queste campagne mirino a bersagli di alto profilo, le stesse identiche tecniche possono essere riutilizzate contro chiunque. Il consiglio più urgente è controllare con regolarità la lista dei dispositivi collegati su Signal e WhatsApp, eliminando subito qualsiasi apparecchio sconosciuto. Non bisogna mai condividere codici ricevuti via SMS o PIN, nemmeno se la richiesta sembra arrivare da un servizio di assistenza ufficiale.
Signal ha ribadito che il codice di verifica SMS viene richiesto esclusivamente al momento della prima iscrizione all’app. Il portavoce di Meta, Zade Alsawah, ha ricordato che WhatsApp raccomanda di non condividere mai il proprio codice di sicurezza a sei cifre con nessuno. I servizi olandesi, infine, sconsigliano ai responsabili politici di utilizzare app di messaggistica per trasmettere informazioni sensibili, «perché non sono né progettate né adatte a questo scopo».
