האקרים הפועלים בחסות ובהכוונת הממשל ברוסיה מכוונים יותר ויותר מתקפות ריגול סייבר לחשבונות משתמשי Signal – כולל חשבונות המשמשים אנשי צבא אוקראינים ופקידי ממשל – במאמץ להשיג גישה למידע רגיש העשוי לסייע למאמץ המלחמתי של רוסיה. צוות האבטחה של גוגל דיווח בשבוע שעבר כי הפופולריות של סיגנל בקרב אנשי צבא, פוליטיקאים, עיתונאים ופעילים – הפכה אותו ליעד מרכזי לפעולות ריגול סייבר. עם זאת, אפליקציות הודעות אחרות, כמו WhatsApp ו- Telegram, היו גם הן תחת מתקפות סייבר על ידי האקרים פרו-רוסים למטרות דומות.
אנשי אבטחת סייבר באוקראינה הזהירו בעבר כי קבוצות האקרים רוסיות מנצלות באופן פעיל את יישומון סיגנל כדי לתקוף פקידי ממשל ואנשי צבא. בהתקפות אלו משתמשים האקרים בדרך כלל בהודעות דיוג כדי להדביק מכשירים בנוזקות ריגול. הטכניקה החדשנית והנפוצה ביותר, לפי גוגל, כוללת ניצול לרעה של תכונת 'מכשירים מקושרים' של Signal, המאפשרת להשתמש באפליקציה במספר מכשירים בו זמנית. בפעולות אלו יוצרים ההאקרים קודי QR זדוניים הנדרשים לקישור מכשיר נוסף. בעת סריקה, מקשר הקוד את החשבון של הקורבן לחשבון שנשלט על ידי ההאקרים ומאפשר מסירת הודעות בזמן אמת הן לקורבן והן להאקרים.
האקרים רוסים מפיצים בדרך כלל את קודי ה- QR הזדוניים הללו מרחוק, מסווים אותם כהזמנות לגיטימיות של קבוצות Signal, או כהתראות אבטחה, או מטמיעים אותם בדפי דיוג המחקים אתרים המשמשים את הצבא האוקראיני. עם זאת, גוגל גילתה גם מתקפת ריגול סייבר שבה סייעה קבוצת ההאקרים Sandworm לכוחות הצבא הרוסי בקישור חשבונות Signal ממכשירי שדה קרב שנתפסו, למערכות שלהם לצורך גניבת מידע.
קבוצת האקרים רוסית אחרת בשם UNC4221, פיתחה ערכת דיוג מותאמת של Signal המחקה את אפליקציית Kropyva המשמשת את הכוחות המזוינים האוקראינים להנחיית ארטילריה. לפי גוגל, במתקפות הללו פרסה UNC4221 גם מטען JavaScript הידוע בשם Pinpoint, כדי לאסוף מידע בסיסי אודות המשתמש וכן, נתוני מיקום גיאוגרפי שלו. "אנו מצפים שהודעות מאובטחות ונתוני מיקום יופיעו לעתים קרובות כמטרות משותפות בפעולות עתידיות מסוג זה, במיוחד בהקשר של פעולות מעקב ממוקדות או תמיכה בפעולות צבאיות קונבנציונליות", אמרו חוקרי הסייבר של גוגל.
בנוסף לקישור מכשירים הנשלטים על ידי האקרים לחשבונות Signal של הקורבנות, גנבו ההאקרים גם קבצי מסד נתונים של Signal ממכשירי אנדרואיד ו- Windows. קבוצת ההאקרים Sandworm למשל, פרסה נוזקה של Wavesign כדי לחלץ הודעות ממסדי הנתונים של Signal במכשירי הקורבנות. קבוצת האקרים רוסית אחרת בשם Turla, השתמשה בסקריפט של PowerShell כדי לחלץ הודעות שולחן העבודה של Signal.
גוגל טוענת כי בעוד שהמתקפות האחרונות הללו נבעו ככל הנראה על ידי דרישות מלחמה להשגת גישה לתקשורת ממשלתית וצבאית רגישה בהקשר של פלישת רוסיה לאוקראינה, ניתן לצפות לכך שהמתקפות על Signal תגדלנה ותתפשטנה לביצוע על ידי קבוצות סייבר נוספות. "נראה שקיימת דרישה ברורה הולכת וגוברת ליכולות סייבר פוגעניות בהן ניתן להשתמש כדי לנטר את התקשורת הרגישה של אנשים המסתמכים על יישומי מסרים מאובטחים כדי להגן על פעילותם המקוונת", ציינו חוקרי הסייבר.
גוגל הזכירו כי Signal מסייעת בחקירת פעילות זדונית המכוונת למשתמשים שלה: המהדורות האחרונות של Signal עבור אנדרואיד ו- iOS, למשל, מכילות תכונות אבטחה משופרות שנועדו לסייע בהגנה מפני מתקפות דיוג.
