FBI und CISA warnen, dass russische Hacker Signal‑Nutzer per Phishing dazu bringen, Sicherungs‑Wiederherstellungsschlüssel preiszugeben, mit denen sie Nachrichtenarchive entsperren können.
Wichtige Punkte:
- Mit russischen Nachrichtendiensten verbundene Hacker zielen auf Signal‑Sicherungs‑Wiederherstellungsschlüssel, nicht nur auf Codes oder PINs.
- Ein gestohlener Schlüssel kann Angreifern ermöglichen, Backups wiederherzustellen, private und Gruppen‑Chats zu lesen und den Zugang an dieselbe Nummer zu binden.
- Die Kampagne missbraucht Social Engineering und legitime Funktionen, nicht die Verschlüsselung von Signal.
Signal‑Hacker
Die aktualisierte Warnung, veröffentlicht am 26. Juni, besagt, dass mit russischen Nachrichtendiensten verbundene Akteure sich als automatisierte Support‑Konten ausgeben, um Ziele dazu zu bringen, Signal‑Wiederherstellungsschlüssel offenzulegen.
Die Mitteilung benennt UNC5792 und UNC4221, Bezeichnungen, die in der Warnung vom März fehlten, und verbindet die Aktivitäten mit russischen Nachrichtengruppen, darunter FSB‑Offiziere, die bei den FSB‑Grenztruppen eingebettet sind.
Die Kampagne richtet sich gegen Personen, die die Behörden als von „hohem nachrichtendienstlichen Wert“ beschreiben, darunter aktuelle und ehemalige US‑ und internationale Regierungsvertreter, Militärangehörige, politische Persönlichkeiten, Journalistinnen und Journalisten sowie Beamte in der Ukraine.
Frühere Versionen forderten Ziele zur Herausgabe von Verifizierungscodes und Konto‑PINs auf oder nutzten gefälschte Gruppen‑Einladungslinks, um das Gerät eines Angreifers mit dem Konto zu verbinden.
Die neuere Version weist Nutzer an, Signal‑Backups zu aktivieren, den Bildschirm für den Wiederherstellungsschlüssel zu öffnen und den Schlüssel in den Chat einzufügen.
Auch lesen: Claude Fable 5 könnte zurückkehren, da Washington die Anthropic‑Konfrontation entschärft
FBI‑Warnung
Das FBI erklärte, dass eine Beispielnachricht als verpflichtende Einführung einer Zwei‑Faktor‑Authentifizierung dargestellt wurde, während eine andere vorgab, eine dringende Datenwiederherstellung sei nötig, um Nachrichtenverlust zu verhindern.
Wenn ein Ziel den Schlüssel teilt, können Angreifer das Backup wiederherstellen, die private und Gruppen‑Nachrichtenhistorie lesen und das Konto übernehmen. Der Schlüssel kann gültig bleiben, nachdem das Opfer das Telefon gewechselt oder mit derselben Nummer ein neues Konto erstellt hat.
Das Erzeugen eines neuen Schlüssels in den Signal‑Einstellungen macht den alten für zukünftige Backup‑Downloads ungültig, hebt jedoch keinen bereits erfolgten Zugriff auf ein Backup auf.
Die Taktik umgeht nicht die Signal‑Verschlüsselung oder die App selbst. Sie funktioniert, weil Opfer dazu gebracht werden, Anmeldedaten preiszugeben, die ihre Backups schützen.
Das Programm Rewards for Justice des Außenministeriums setzt bis zu 10 Millionen US‑Dollar für Hinweise auf UNC5792 aus.
Die Google Threat Intelligence Group dokumentierte Anfang 2025, wie UNC5792 die Funktion für verknüpfte Geräte in Signal missbrauchte, bevor Forscher ähnliche Vorgehensweisen gegen WhatsApp und Telegram beobachteten.
Als Nächstes lesen: PUMP gewinnt 12 %, während Protokolldaten warnen, dass die Erholung fragil sein könnte