แฮกเกอร์รัสเซียพบจุดอ่อนสัญญาณในกุญแจกู้คืนข้อมูล

FBI และ CISA เตือนว่าแฮกเกอร์รัสเซียกำลังฟิชชิงผู้ใช้ Signal เพื่อขอกุญแจสำรองกู้คืนข้อมูล ที่สามารถปลดล็อกคลังข้อความได้

ประเด็นสำคัญ:

• แฮกเกอร์ที่เชื่อมโยงกับหน่วยข่าวกรองรัสเซียกำลังไล่ล่ากุญแจสำรองกู้คืนข้อมูลของ Signal ไม่ใช่แค่โค้ดหรือ PIN
• เมื่อได้กุญแจไปแล้ว ผู้โจมตีสามารถกู้คืนข้อมูลสำรอง อ่านแชทส่วนตัวและกลุ่ม และคงสิทธิ์การเข้าถึงที่ผูกกับเบอร์เดิมได้
• แคมเปญนี้ใช้วิศวกรรมสังคมและฟีเจอร์ถูกต้องตามปกติ ไม่ได้โจมตีการเข้ารหัสของ Signal

แฮกเกอร์ใน Signal

คำแนะนำที่อัปเดตซึ่งเผยแพร่เมื่อ 26 มิ.ย. ระบุว่าผู้กระทำที่เชื่อมโยงกับหน่วยข่าวกรองรัสเซียปลอมตัวเป็นบัญชีซัพพอร์ตอัตโนมัติ เพื่อหลอกให้เหยื่อเปิดเผยกุญแจสำรองกู้คืนข้อมูลของ Signal

ประกาศดังกล่าวระบุชื่อ UNC5792 และ UNC4221 ซึ่งไม่มีในคำเตือนเดือนมีนาคม และเชื่อมโยงกิจกรรมนี้กับกลุ่มข่าวกรองรัสเซีย รวมถึงเจ้าหน้าที่ FSB ที่ฝังตัวอยู่กับหน่วย FSB Border Guards

แคมเปญนี้มุ่งเป้าไปที่บุคคลที่หน่วยงานอธิบายว่ามี “มูลค่าข่าวกรองสูง” เช่น เจ้าหน้าที่สหรัฐฯ และนานาชาติทั้งปัจจุบันและอดีต บุคลากรทหาร นักการเมือง นักข่าว และเจ้าหน้าที่ในยูเครน

เวอร์ชันก่อนหน้านี้เคยขอรหัสยืนยันและ PIN บัญชีจากเหยื่อ หรือใช้ลิงก์เชิญเข้ากลุ่มปลอมเพื่อเชื่อมอุปกรณ์ของผู้โจมตีกับบัญชีของเหยื่อ

เวอร์ชันใหม่แจ้งผู้ใช้ให้เปิดใช้งานการสำรองข้อมูลบน Signal เปิดหน้าจอกุญแจสำรอง แล้วคัดลอกกุญแจไปวางในห้องแชท

อ่านเพิ่มเติม: Claude Fable 5 อาจกลับมาอีกครั้งเมื่อวอชิงตันผ่อนคลายข้อพิพาทกับ Anthropic

คำเตือนจาก FBI

FBI ระบุว่าข้อความตัวอย่างหนึ่งถูกจัดฉากให้ดูเหมือนการบังคับใช้การยืนยันตัวตนแบบสองขั้นตอน ส่วนอีกข้อความอ้างว่าต้องกู้ข้อมูลอย่างเร่งด่วนเพื่อป้องกันการสูญหายของข้อความ

หากเหยื่อส่งกุญแจให้ ผู้โจมตีสามารถกู้คืนข้อมูลสำรอง อ่านประวัติข้อความส่วนตัวและกลุ่ม และยึดบัญชีไปได้ โดยกุญแจอาจยังใช้ได้แม้เหยื่อจะเปลี่ยนเครื่องหรือสร้างบัญชีใหม่ด้วยเบอร์เดิม

การสร้างกุญแจใหม่ในหน้าตั้งค่า Signal จะทำให้กุญแจเดิมใช้ไม่ได้สำหรับการดาวน์โหลดสำรองในอนาคต แต่ไม่สามารถย้อนคืนการเข้าถึงข้อมูลสำรองที่ถูกกู้ไปแล้วได้

ยุทธวิธีนี้ไม่ได้เจาะทะลุการเข้ารหัสของ Signal หรือแอปโดยตรง แต่ใช้การชักจูงให้เหยื่อมอบข้อมูลยืนยันตัวตนที่ปกป้องข้อมูลสำรองของตนเอง

โปรแกรม Rewards for Justice ของ กระทรวงการต่างประเทศสหรัฐฯ เสนอรางวัลสูงสุด 10 ล้านดอลลาร์สำหรับข้อมูลเกี่ยวกับ UNC5792

Google Threat Intelligence Group ได้บันทึกการที่ UNC5792 ใช้ช่องโหว่ผ่านฟีเจอร์เชื่อมต่ออุปกรณ์ของ Signal ตั้งแต่ต้นปี 2025 ก่อนที่นักวิจัยจะพบวิธีปฏิบัติคล้ายกันที่มุ่งเป้าไปยัง WhatsApp และ Telegram

อ่านถัดไป: PUMP พุ่งขึ้น 12% ขณะที่ข้อมูลโปรโตคอลชี้การดีดกลับอาจเปราะบาง