FBI i CISA ostrzegają, że rosyjscy hakerzy wyłudzają od użytkowników Signal klucze odzyskiwania kopii zapasowych, które mogą odblokować archiwa wiadomości.
Kluczowe punkty:
- Hakerzy powiązani z rosyjskim wywiadem szukają kluczy odzyskiwania kopii zapasowych Signal, a nie tylko kodów lub PIN-ów.
- Skopiony klucz może pozwolić atakującym przywrócić kopie zapasowe, czytać prywatne i grupowe czaty oraz utrzymać dostęp powiązany z tym samym numerem.
- Kampania opiera się na socjotechnice i legalnych funkcjach, a nie na łamaniu szyfrowania Signal.
Hakerzy atakujący Signal
Zaktualizowane ostrzeżenie, opublikowane 26 czerwca, informuje, że aktorzy powiązani z rosyjskimi służbami wywiadowczymi podszywają się pod automatyczne konta wsparcia, aby skłonić cele do ujawnienia kluczy odzyskiwania Signal.
Komunikat identyfikuje UNC5792 i UNC4221, nazwy nieobecne w ostrzeżeniu z marca, i łączy aktywność z rosyjskimi grupami wywiadowczymi, w tym z funkcjonariuszami FSB osadzonymi w Straży Granicznej FSB.
Kampania wymierzona jest w osoby określane przez agencje jako mające „wysoką wartość wywiadowczą”, w tym obecnych i byłych urzędników USA i innych państw, personel wojskowy, polityków, dziennikarzy oraz urzędników na Ukrainie.
Wcześniejsze wersje ataku prosiły ofiary o kody weryfikacyjne i PIN-y do kont lub używały fałszywych linków z zaproszeniami do grup, aby połączyć urządzenie atakującego z kontem.
Nowsza wersja nakazuje użytkownikom włączyć kopie zapasowe Signal, otworzyć ekran klucza odzyskiwania i wkleić klucz do czatu.
Zobacz także: Claude Fable 5 może powrócić, gdy Waszyngton łagodzi konflikt z Anthropic
Ostrzeżenie FBI
FBI podało, że jedna przykładowa wiadomość była przedstawiona jako obowiązkowe wdrożenie uwierzytelniania dwuskładnikowego, podczas gdy inna twierdziła, że pilne odzyskanie danych jest konieczne, aby zapobiec utracie wiadomości.
Jeśli cel udostępni klucz, atakujący mogą przywrócić kopię zapasową, odczytać historię prywatnych i grupowych wiadomości oraz przejąć konto. Klucz może pozostać ważny nawet po zmianie telefonu przez ofiarę lub utworzeniu nowego konta z tym samym numerem.
Wygenerowanie nowego klucza w ustawieniach Signal unieważnia stary dla przyszłych pobrań kopii zapasowych, ale nie cofa dostępu do już odczytanych kopii.
Ta taktyka nie omija szyfrowania Signal ani samej aplikacji. Działa dlatego, że ofiary zostają przekonane do przekazania danych uwierzytelniających chroniących ich kopie zapasowe.
Program State Department Rewards for Justice oferuje do 10 milionów dolarów za informacje o UNC5792.
Google Threat Intelligence Group udokumentowała, że UNC5792 nadużywał funkcji połączonych urządzeń Signal na początku 2025 r., zanim badacze zauważyli podobne techniki wymierzone w WhatsApp i Telegram.
Przeczytaj następnie: PUMP zyskuje 12%, podczas gdy dane protokołu ostrzegają, że odbicie może być kruche