FBI und CISA warnen, dass russische Hacker Signal-Nutzer mit Phishing angreifen, um Backup-Wiederherstellungsschlüssel zu stehlen, mit denen sich Nachrichtenarchive entsperren lassen.
Zentrale Punkte:
- Mit russischem Geheimdienst verbundene Hacker zielen auf Signal-Backup-Wiederherstellungsschlüssel, nicht nur auf Codes oder PINs.
- Ein gestohlener Schlüssel kann Angreifern ermöglichen, Backups wiederherzustellen, private und Gruppen-Chats zu lesen und den Zugang an dieselbe Nummer zu binden.
- Die Kampagne missbraucht Social Engineering und legitime Funktionen, nicht die Verschlüsselung von Signal.
Signal‑Hacker
Die aktualisierte Empfehlung, veröffentlicht am 26. Juni, besagt, dass mit russischen Nachrichtendiensten verbundene Akteure sich als automatisierte Support-Konten ausgeben, um Ziele dazu zu bringen, ihre Signal-Wiederherstellungsschlüssel offenzulegen.
Die Mitteilung benennt UNC5792 und UNC4221, Bezeichnungen, die in der Warnung vom März fehlten, und ordnet die Aktivitäten russischen Geheimdienstgruppen zu, darunter FSB-Offiziere, die bei den Grenztruppen des FSB eingebettet sind.
Die Kampagne richtet sich gegen Personen, die die Behörden als von „hohem nachrichtendienstlichem Wert“ beschreiben, darunter aktuelle und ehemalige US- und internationale Regierungsvertreter, Militärangehörige, politische Entscheidungsträger, Journalistinnen und Journalisten sowie Beamte in der Ukraine.
Frühere Varianten forderten die Ziele zur Herausgabe von Verifizierungscodes und Konto-PINs auf oder nutzten gefälschte Gruppeneinladungslinks, um ein Angreifergerät mit dem Konto zu verbinden.
Die neue Variante weist Nutzer an, Signal-Backups zu aktivieren, den Bildschirm mit dem Wiederherstellungsschlüssel zu öffnen und den Schlüssel in den Chat einzufügen.
Außerdem lesen: Claude Fabel 5 könnte zurückkehren, während Washington die Anthropic-Pattsituation entschärft
FBI‑Warnung
Das FBI erklärte, eine Beispielnachricht sei als verpflichtende Einführung einer Zwei-Faktor-Authentifizierung formuliert gewesen, während eine andere vorgab, eine dringende Datenwiederherstellung sei nötig, um Nachrichtenverlust zu verhindern.
Wenn ein Ziel den Schlüssel teilt, können Angreifer das Backup wiederherstellen, private und Gruppennachrichtenverläufe lesen und das Konto übernehmen. Der Schlüssel kann gültig bleiben, nachdem das Opfer das Telefon gewechselt oder mit derselben Nummer ein neues Konto erstellt hat.
Das Erzeugen eines neuen Schlüssels in den Signal-Einstellungen macht den alten für zukünftige Backup-Downloads ungültig, hebt jedoch keinen bereits erfolgten Zugriff auf ein Backup auf.
Die Taktik überwindet weder die Signal-Verschlüsselung noch die App selbst. Sie funktioniert, weil Opfer dazu gebracht werden, die Zugangsdaten preiszugeben, die ihre Backups schützen.
Das Programm „Rewards for Justice“ des Außenministeriums der Vereinigten Staaten bietet bis zu 10 Millionen US‑Dollar für Informationen über UNC5792.
Die Google Threat Intelligence Group dokumentierte, dass UNC5792 Anfang 2025 die verknüpfte-Geräte-Funktion von Signal missbrauchte, bevor Forscher ähnliche Vorgehensweisen gegen WhatsApp und Telegram beobachteten.
Als Nächstes lesen: PUMP steigt um 12 %, während Protokolldaten vor einem fragilen Aufschwung warnen