مكتب التحقيقات الفيدرالي (FBI) ووكالة الأمن السيبراني والبنية التحتية (CISA) يحذّران من أن قراصنة روسيين يشنّون هجمات تصيد ضد مستخدمي سيغنال (Signal) للحصول على مفاتيح استعادة النسخ الاحتياطية التي يمكن أن تفتح أرشيفات الرسائل.
النقاط الرئيسية:
- قراصنة مرتبطون بالاستخبارات الروسية يسعون للحصول على مفاتيح استعادة النسخ الاحتياطية في سيغنال، وليس فقط الرموز أو أرقام التعريف الشخصية (PIN).
- يمكن لمفتاح مسروق أن يسمح للمهاجمين باستعادة النسخ الاحتياطية، وقراءة الدردشات الخاصة والجماعية، والحفاظ على الوصول المرتبط بالرقم نفسه.
- تعتمد الحملة على الهندسة الاجتماعية واستغلال ميزات شرعية، وليس على كسر تشفير سيغنال.
قراصنة سيغنال
يشير الإشعار المحدَّث، الذي تم نشره في 26 يونيو، إلى أن جهات فاعلة مرتبطة بخدمات الاستخبارات الروسية تنتحل صفة حسابات دعم آلية لدفع الأهداف إلى كشف مفاتيح استعادة سيغنال.
يحدّد الإشعار المجموعتين UNC5792 وUNC4221، وهما تسميتان لم تظهرا في تحذير مارس، ويربط النشاط بمجموعات استخبارات روسية، بما في ذلك ضباط من جهاز الأمن الفيدرالي (FSB) المدمجين ضمن حرس الحدود التابع لـFSB.
تستهدف الحملة أشخاصًا تصفهم الوكالات بأنهم ذوو "قيمة استخبارية عالية"، بما في ذلك مسؤولون حاليون وسابقون من الولايات المتحدة ودول أخرى، وأفراد عسكريون، وشخصيات سياسية، وصحفيون، ومسؤولون في أوكرانيا.
النسخ السابقة من الحملة كانت تطلب من الأهداف رموز التحقق وأرقام PIN للحسابات، أو تستخدم روابط دعوة مجموعات مزيفة لربط جهاز المهاجم بالحساب.
الإصدار الأحدث يطلب من المستخدمين تفعيل النسخ الاحتياطية في سيغنال، وفتح شاشة مفتاح الاستعادة، ثم لصق المفتاح في المحادثة.
اقرأ أيضًا: عودة محتملة لـClaude Fable 5 مع تخفيف واشنطن لموقفها من Anthropic
تحذير مكتب التحقيقات الفيدرالي
ذكر مكتب التحقيقات الفيدرالي أن إحدى رسائل التصيد صيغت على أنها إطلاق إلزامي لخاصية التحقق بخطوتين، بينما ادعت رسالة أخرى أن هناك حاجة ملحة لاستعادة البيانات لمنع فقدان الرسائل.
إذا شارك الهدف المفتاح، يمكن للمهاجمين استعادة النسخة الاحتياطية، وقراءة سجل الرسائل الخاصة والجماعية، والسيطرة على الحساب. ويمكن أن يظل المفتاح صالحًا حتى بعد أن يغيّر الضحية هاتفه أو ينشئ حسابًا جديدًا باستخدام الرقم نفسه.
إنشاء مفتاح جديد في إعدادات سيغنال يبطل صلاحية المفتاح القديم لتنزيل النسخ الاحتياطية مستقبلًا، لكنه لا يلغي أي نسخة احتياطية تم الوصول إليها بالفعل.
هذه الحيلة لا تكسر تشفير سيغنال ولا التطبيق نفسه؛ بل تنجح لأن الضحايا يُقنِعون بتسليم بيانات الاعتماد التي تحمي نسخهم الاحتياطية.
يقدّم برنامج مكافآت من أجل العدالة التابع لوزارة الخارجية الأميركية مكافأة تصل إلى 10 ملايين دولار مقابل معلومات عن المجموعة UNC5792.
وثّقت مجموعة معلومات التهديدات في غوغل (Google Threat Intelligence Group) استغلال UNC5792 لميزة الأجهزة المرتبطة في سيغنال في أوائل عام 2025، قبل أن يلاحظ الباحثون أساليب مشابهة موجَّهة إلى واتساب وتليغرام.
اقرأ التالي: ارتفاع عملة PUMP بنسبة 12% بينما تشير بيانات البروتوكول إلى أن التعافي قد يكون هشًا