FBI e CISA avvertono che hacker russi stanno facendo phishing contro gli utenti di Signal per ottenere le chiavi di recupero dei backup, che possono sbloccare gli archivi dei messaggi.
Punti chiave:
- Hacker collegati all’intelligence russa stanno cercando chiavi di recupero dei backup di Signal, non solo codici o PIN.
- Una chiave rubata può consentire agli aggressori di ripristinare i backup, leggere chat private e di gruppo e mantenere l’accesso legato allo stesso numero.
- La campagna sfrutta ingegneria sociale e funzioni legittime, non la crittografia di Signal.
Hacker su Signal
L’avviso aggiornato, pubblicato il 26 giugno, afferma che attori legati ai Servizi di Intelligence russi si fingono account di supporto automatici per indurre i bersagli a esporre le chiavi di recupero di Signal.
L’avviso identifica UNC5792 e UNC4221, nomi assenti nell’allerta di marzo, e collega l’attività a gruppi di intelligence russi, inclusi ufficiali dell’FSB inseriti nelle Guardie di Frontiera dell’FSB.
La campagna prende di mira persone che le agenzie descrivono come di “alto valore informativo”, tra cui funzionari statunitensi e internazionali attuali ed ex, personale militare, figure politiche, giornalisti e funzionari in Ucraina.
Le versioni precedenti chiedevano ai bersagli codici di verifica e PIN dell’account, oppure usavano falsi link di invito a gruppi per collegare il dispositivo dell’aggressore all’account.
La versione più recente dice agli utenti di abilitare i backup di Signal, aprire la schermata della chiave di recupero e incollare la chiave nella chat.
Leggi anche: Il Claude Fable 5 potrebbe tornare mentre Washington ammorbidisce lo stallo con Anthropic
Avviso dell’FBI
L’FBI ha dichiarato che un messaggio di esempio era presentato come un’implementazione obbligatoria di autenticazione a due fattori, mentre un altro sosteneva che fosse necessario un recupero urgente dei dati per evitare la perdita dei messaggi.
Se un bersaglio condivide la chiave, gli aggressori possono ripristinare il backup, leggere la cronologia dei messaggi privati e di gruppo e prendere il controllo dell’account. La chiave può rimanere valida anche se la vittima cambia telefono o crea un nuovo account usando lo stesso numero.
Generare una nuova chiave nelle impostazioni di Signal invalida la vecchia per i futuri download di backup, ma non annulla alcun backup già accesso.
La tattica non sconfigge la crittografia di Signal né l’app stessa. Funziona perché le vittime vengono convinte a consegnare le credenziali che proteggono i loro backup.
Il programma Rewards for Justice del Dipartimento di Stato offre fino a 10 milioni di dollari per informazioni su UNC5792.
Il Google Threat Intelligence Group ha documentato UNC5792 mentre abusava della funzione dei dispositivi collegati di Signal all’inizio del 2025, prima che i ricercatori osservassero tecniche simili rivolte a WhatsApp e Telegram.
Da leggere dopo: PUMP guadagna il 12% mentre i dati del protocollo avvertono che il rimbalzo potrebbe essere fragile