FBI ve CISA, Rus hackerların mesaj arşivlerinin kilidini açabilen yedek kurtarma anahtarlarını ele geçirmek için Signal kullanıcılarına oltalama saldırıları yaptığını bildiriyor.
Öne Çıkan Noktalar:
- Rus istihbaratıyla bağlantılı hackerlar yalnızca kodları veya PIN’leri değil, Signal yedek kurtarma anahtarlarını arıyor.
- Çalınan bir anahtar, saldırganların yedekleri geri yüklemesine, özel ve grup sohbetlerini okumasına ve aynı numaraya bağlı erişimi sürdürmesine izin verebilir.
- Kampanya, Signal’ın şifrelemesini değil, sosyal mühendislik ve meşru özellikleri suiistimal ediyor.
Signal Hackerları
26 Haziran’da yayınlanan güncellenmiş uyarıya göre, Rus İstihbarat Servisleri ile bağlantılı aktörler, hedefleri Signal kurtarma anahtarlarını ifşa etmeye zorlamak için otomatik destek hesapları gibi davranıyor.
Bildirim, Mart uyarısında yer almayan UNC5792 ve UNC4221’i tanımlıyor ve faaliyeti, aralarında FSB Sınır Muhafızları içinde görev yapan FSB subaylarının da bulunduğu Rus istihbarat gruplarıyla ilişkilendiriyor.
Kampanya, kurumların “yüksek istihbarat değeri” taşıdığını söylediği kişileri hedef alıyor; bunlar arasında mevcut ve eski ABD’li ve uluslararası yetkililer, askeri personel, siyasi figürler, gazeteciler ve Ukrayna’daki yetkililer yer alıyor.
Önceki sürümler, hedeflerden doğrulama kodları ve hesap PIN’leri istemiş ya da bir saldırganın cihazını hesaba bağlamak için sahte grup davet bağlantıları kullanmıştı.
Yeni sürüm ise kullanıcılara Signal yedeklerini etkinleştirmelerini, kurtarma anahtarı ekranını açmalarını ve anahtarı sohbete yapıştırmalarını söylüyor.
Ayrıca Oku: Claude Fable 5, Washington’un Anthropic ile Gerilimi Yumuşatmasıyla Geri Dönebilir
FBI Uyarısı
FBI, örnek mesajlardan birinin zorunlu iki faktörlü kimlik doğrulama geçişi olarak kurgulandığını, bir diğerinin ise mesaj kaybını önlemek için acil veri kurtarma gerektiğini iddia ettiğini belirtti.
Hedef anahtarı paylaşırsa, saldırganlar yedeği geri yükleyebilir, özel ve grup mesaj geçmişini okuyabilir ve hesabı ele geçirebilir. Anahtar, kurban telefon değiştirdikten veya aynı numarayı kullanarak yeni bir hesap oluşturduktan sonra bile geçerli kalabilir.
Signal ayarlarından yeni bir anahtar üretmek, eski anahtarı gelecekteki yedek indirmeleri için geçersiz kılar, ancak zaten erişilmiş herhangi bir yedeği geri almaz.
Bu taktik, Signal şifrelemesini ya da uygulamanın kendisini yenmiyor. Yedekleri koruyan kimlik bilgilerini kurbanlara verdirerek işe yarıyor.
Dışişleri Bakanlığı’nın Rewards for Justice programı, UNC5792 hakkında bilgi sağlayanlara 10 milyon dolara kadar ödül sunuyor.
Google Threat Intelligence Group, araştırmacıların benzer yöntemleri WhatsApp ve Telegram’a yönelik olarak görmesinden önce, 2025’in başlarında UNC5792’nin Signal’ın bağlı cihaz özelliğini suiistimal ettiğini belgeledi.
Sıradaki Haber: PUMP %12 Yükselirken Protokol Verileri Toparlanmaya Dair Kırılganlık Uyarısı Yapıyor