ФБР и CISA предупреждают, что российские хакеры проводят фишинг‑атаки на пользователей Signal, чтобы получить резервные ключи восстановления, с помощью которых можно разблокировать архивы сообщений.
Основные моменты:
- Хакеры, связанные с российской разведкой, охотятся за резервными ключами восстановления Signal, а не только за кодами или PIN‑кодами.
- Похищенный ключ позволяет злоумышленникам восстановить резервные копии, читать личные и групповые чаты и сохранять доступ, привязанный к тому же номеру.
- В кампании используется социальная инженерия и легитимные функции, а не взлом шифрования Signal.
Хакеры Signal
Обновлённое предупреждение, опубликованное 26 июня, сообщает, что акторы, связанные со Службами внешней разведки России, выдают себя за автоматические аккаунты поддержки, чтобы вынудить цели раскрыть ключи восстановления Signal.
В уведомлении названы группы UNC5792 и UNC4221, которых не было в мартовском предупреждении, и их активность связывается с российскими разведструктурами, включая офицеров ФСБ, работающих в составе Пограничной службы ФСБ.
Кампания нацелена на людей с «высокой разведывательной ценностью», в том числе действующих и бывших должностных лиц США и других стран, военнослужащих, политиков, журналистов и чиновников на Украине.
Более ранние варианты атак просили у жертв коды подтверждения и PIN‑коды аккаунта или использовали фальшивые ссылки‑приглашения в группы, чтобы привязать устройство злоумышленника к аккаунту.
В новой версии жертвам предлагают включить резервные копии в Signal, открыть экран с ключом восстановления и вставить этот ключ в чат.
Также читайте: Клод Fable 5 может вернуться на фоне смягчения противостояния Вашингтона с Anthropic
Предупреждение ФБР
По данным ФБР, одно из образцов сообщений было оформлено как обязательный запуск двухфакторной аутентификации, а в другом утверждалось о срочном восстановлении данных для предотвращения потери сообщений.
Если цель передаёт ключ, злоумышленники могут восстановить резервную копию, прочитать историю личных и групповых сообщений и захватить аккаунт. Ключ может оставаться действительным даже после того, как жертва сменит телефон или создаст новый аккаунт с тем же номером.
Генерация нового ключа в настройках Signal делает старый недействительным для будущих загрузок резервных копий, но не отменяет доступ к уже полученным резервным данным.
Эта тактика не взламывает шифрование Signal и не ломает само приложение. Она работает потому, что жертв убеждают добровольно выдать учётные данные, защищающие их резервные копии.
Программа Госдепартамента США Rewards for Justice предлагает вознаграждение до 10 миллионов долларов за информацию о группе UNC5792.
Google Threat Intelligence Group задокументировала использование группой UNC5792 функции привязки устройств в Signal в начале 2025 года, ещё до того, как исследователи обнаружили похожие приёмы против WhatsApp и Telegram.
Читайте далее: PUMP растёт на 12 %, но Protocol Data предупреждает, что отскок может быть непрочным