مكتب التحقيقات الفيدرالي (FBI) ووكالة الأمن السيبراني CISA يحذّران من أن قراصنة روسيين يصطادون مستخدمي سيجنال (Signal) للحصول على مفاتيح استرداد النسخ الاحتياطية التي يمكنها فتح أرشيفات الرسائل.
النقاط الرئيسية:
- قراصنة مرتبطون بالاستخبارات الروسية يسعون للحصول على مفاتيح استرداد النسخ الاحتياطية في سيجنال، وليس فقط الأكواد أو أرقام التعريف الشخصية (PIN).
- يمكن للمفتاح المسروق أن يسمح للمهاجمين باستعادة النسخ الاحتياطية، وقراءة الدردشات الخاصة والجماعية، والحفاظ على الوصول المرتبط بالرقم نفسه.
- الحملة تستغل الهندسة الاجتماعية والميزات الشرعية، وليس تشفير سيجنال نفسه.
قراصنة سيجنال
الإشعار المحدّث، الذي تم نشره في 26 يونيو، يقول إن جهات مرتبطة بخدمات الاستخبارات الروسية تنتحل صفة حسابات دعم آلية لدفع الأهداف إلى كشف مفاتيح استرداد سيجنال.
يحدّد الإشعار UNC5792 وUNC4221، وهما اسمان لم يظهرا في تحذير مارس، ويربط النشاط بمجموعات استخبارات روسية، بما في ذلك ضباط من جهاز الأمن الفيدرالي (FSB) مدمجين مع قوات حرس الحدود التابعة له.
تستهدف الحملة أشخاصاً تصفهم الوكالات بأنهم ذوو "قيمة استخباراتية عالية"، بما في ذلك مسؤولون حاليون وسابقون في الولايات المتحدة وخارجها، وأفراد عسكريون، وشخصيات سياسية، وصحفيون، ومسؤولون في أوكرانيا.
النسخ الأقدم من الحملة كانت تطلب من الأهداف رموز التحقق وأرقام التعريف الشخصية للحسابات، أو تستخدم روابط دعوات مجموعات مزوّرة لربط جهاز المهاجم بالحساب.
النسخة الأحدث تطلب من المستخدمين تفعيل النسخ الاحتياطي في سيجنال، وفتح شاشة مفتاح الاسترداد، ثم لصق المفتاح في الدردشة.
اقرأ أيضاً: عودة محتملة لـ"كلود فابل 5" مع تليين موقف واشنطن من أنثروبيك
تحذير مكتب التحقيقات الفيدرالي
قال مكتب التحقيقات الفيدرالي إن إحدى رسائل الاحتيال صيغت على أنها طرح إلزامي لمصادقة ثنائية العوامل، بينما ادّعت رسالة أخرى أن هناك حاجة ملحّة لاستعادة البيانات لمنع فقدان الرسائل.
إذا شارك الهدف المفتاح، يمكن للمهاجمين استعادة النسخة الاحتياطية، وقراءة سجلات الرسائل الخاصة والجماعية، والاستيلاء على الحساب. ويمكن أن يبقى المفتاح صالحاً حتى بعد تغيير الضحية لهاتفه أو إنشاء حساب جديد باستخدام الرقم نفسه.
إنشاء مفتاح جديد في إعدادات سيجنال يبطل صلاحية المفتاح القديم لتنزيل النسخ الاحتياطية المستقبلية، لكنه لا يلغي أي نسخة احتياطية تم الوصول إليها بالفعل.
لا تُهزم هذه الحيلة تشفير سيجنال ولا التطبيق نفسه. فهي تعمل لأن الضحايا يتم إقناعهم بتسليم بيانات الاعتماد التي تحمي نسخهم الاحتياطية.
يقدّم برنامج مكافآت العدالة التابع لوزارة الخارجية الأمريكية ما يصل إلى 10 ملايين دولار مقابل معلومات عن UNC5792.
وثّقت مجموعة معلومات التهديدات في جوجل (Google Threat Intelligence Group) في أوائل عام 2025 استخدام UNC5792 لميزة ربط الأجهزة في سيجنال، قبل أن يلاحظ الباحثون تكتيكات مشابهة تستهدف واتساب وتلغرام.
اقرأ بعد ذلك: ارتفاع عملة PUMP بنسبة 12% بينما تحذر بيانات البروتوكول من هشاشة الارتداد