FBI e CISA avvertono che hacker russi stanno facendo phishing contro gli utenti di Signal per ottenere le chiavi di recupero dei backup che possono sbloccare gli archivi dei messaggi.
Punti chiave:
- Hacker collegati all’intelligence russa stanno cercando chiavi di recupero dei backup di Signal, non solo codici o PIN.
- Una chiave rubata può consentire agli aggressori di ripristinare i backup, leggere chat private e di gruppo e mantenere l’accesso legato allo stesso numero.
- La campagna sfrutta ingegneria sociale e funzionalità legittime, non la crittografia di Signal.
Hacker su Signal
L’avviso aggiornato, pubblicato il 26 giugno, afferma che attori collegati ai Servizi di Intelligence russi si spacciano per account di supporto automatici per spingere i bersagli a esporre le chiavi di recupero di Signal.
L’avviso identifica UNC5792 e UNC4221, nomi assenti dall’allerta di marzo, e collega l’attività a gruppi di intelligence russi, inclusi ufficiali dell’FSB incorporati nelle Guardie di Frontiera dell’FSB.
La campagna prende di mira persone che le agenzie descrivono come di “alto valore d’intelligence”, tra cui funzionari statunitensi e internazionali attuali ed ex, personale militare, figure politiche, giornalisti e funzionari in Ucraina.
Le versioni precedenti chiedevano alle vittime codici di verifica e PIN dell’account, oppure usavano falsi link di invito a gruppi per collegare il dispositivo di un aggressore all’account.
La versione più recente dice agli utenti di abilitare i backup di Signal, aprire la schermata della chiave di recupero e incollare la chiave nella chat.
Da leggere anche: Claude Fable 5 potrebbe tornare mentre Washington ammorbidisce lo stallo con Anthropic
Avvertimento dell’FBI
L’FBI ha dichiarato che un messaggio di esempio era presentato come l’implementazione obbligatoria dell’autenticazione a due fattori, mentre un altro sosteneva che fosse necessario un recupero urgente dei dati per evitare la perdita dei messaggi.
Se un bersaglio condivide la chiave, gli aggressori possono ripristinare il backup, leggere la cronologia dei messaggi privati e di gruppo e prendere il controllo dell’account. La chiave può rimanere valida anche dopo che la vittima cambia telefono o crea un nuovo account usando lo stesso numero.
Generare una nuova chiave nelle impostazioni di Signal invalida la vecchia per i futuri download dei backup, ma non annulla nessun backup che è già stato accesso.
La tattica non aggira la crittografia di Signal né l’app stessa. Funziona perché le vittime vengono convinte a consegnare le credenziali che proteggono i loro backup.
Il programma Rewards for Justice del Dipartimento di Stato offre fino a 10 milioni di dollari per informazioni su UNC5792.
Il Google Threat Intelligence Group ha documentato UNC5792 mentre abusava della funzionalità per i dispositivi collegati di Signal all’inizio del 2025, prima che i ricercatori vedessero tecniche simili rivolte a WhatsApp e Telegram.
Prossima lettura: PUMP guadagna il 12% mentre i dati del protocollo avvertono che il rimbalzo potrebbe essere fragile