FBI i CISA ostrzegają, że rosyjscy hakerzy wyłudzają od użytkowników Signal klucze odzyskiwania kopii zapasowych, które mogą odblokować archiwa wiadomości.
Kluczowe punkty:
- Hakerzy powiązani z rosyjskim wywiadem szukają kluczy odzyskiwania kopii zapasowych Signal, a nie tylko kodów czy PIN-ów.
- Skradziony klucz może pozwolić atakującym przywrócić kopie zapasowe, czytać prywatne i grupowe czaty oraz utrzymać dostęp powiązany z tym samym numerem.
- Kampania wykorzystuje socjotechnikę i legalne funkcje, a nie szyfrowanie Signal.
Hakerzy Signal
Zaktualizowane ostrzeżenie, opublikowane 26 czerwca, podaje, że aktorzy powiązani z rosyjskimi służbami wywiadowczymi podszywają się pod automatyczne konta wsparcia, aby skłonić cele do ujawnienia kluczy odzyskiwania Signal.
Komunikat identyfikuje UNC5792 i UNC4221, nazwy nieobecne w ostrzeżeniu z marca, i łączy tę aktywność z rosyjskimi grupami wywiadowczymi, w tym oficerami FSB w strukturach Straży Granicznej FSB.
Kampania wymierzona jest w osoby opisywane przez agencje jako mające „wysoką wartość wywiadowczą”, w tym obecnych i byłych urzędników USA i innych państw, personel wojskowy, postacie polityczne, dziennikarzy oraz urzędników na Ukrainie.
Wcześniejsze wersje prosiły ofiary o kody weryfikacyjne i PIN-y do konta lub wykorzystywały fałszywe linki zaproszeń do grup, by podłączyć urządzenie atakującego do konta.
Nowsza wersja instruuje użytkowników, by włączyli kopie zapasowe Signal, otworzyli ekran klucza odzyskiwania i wkleili klucz do czatu.
Przeczytaj także: Claude Fable 5 może powrócić, gdy Waszyngton łagodzi spór z Anthropic
Ostrzeżenie FBI
FBI podało, że jedna z przykładowych wiadomości była przedstawiana jako obowiązkowe wdrożenie uwierzytelniania dwuskładnikowego, podczas gdy inna twierdziła, że w celu uniknięcia utraty wiadomości konieczne jest pilne odzyskanie danych.
Jeśli cel udostępni klucz, atakujący mogą przywrócić kopię zapasową, odczytać historię prywatnych i grupowych wiadomości oraz przejąć konto. Klucz może pozostać ważny nawet po zmianie telefonu przez ofiarę lub utworzeniu nowego konta z tym samym numerem.
Wygenerowanie nowego klucza w ustawieniach Signal unieważnia stary dla przyszłych pobrań kopii zapasowych, ale nie cofa dostępu do kopii, do których już uzyskano dostęp.
Ta taktyka nie przełamuje szyfrowania Signal ani samej aplikacji. Działa dlatego, że ofiary są przekonywane, by przekazać dane uwierzytelniające chroniące ich kopie zapasowe.
Program Rewards for Justice Departamentu Stanu oferuje do 10 milionów dolarów za informacje na temat UNC5792.
Google Threat Intelligence Group udokumentowała, że UNC5792 nadużywał funkcji urządzeń połączonych w Signal na początku 2025 roku, zanim badacze dostrzegli podobne techniki wymierzone w WhatsApp i Telegram.
Czytaj dalej: PUMP rośnie o 12%, podczas gdy dane Protocol ostrzegają, że odbicie może być kruche