FBI ve CISA, Rus hackerların mesaj arşivlerinin kilidini açabilen Signal yedek kurtarma anahtarlarını ele geçirmek için Signal kullanıcılarını oltaladığını bildiriyor.
Önemli Noktalar:
- Rus istihbaratı bağlantılı hackerlar yalnızca kodlar veya PIN’lerin değil, Signal yedek kurtarma anahtarlarının peşinde.
- Çalınan bir anahtar, saldırganların yedekleri geri yüklemesine, özel ve grup sohbetlerini okumasına ve aynı numaraya bağlı erişimi sürdürmesine izin verebilir.
- Kampanya, Signal’in şifrelemesini değil, sosyal mühendisliği ve meşru özellikleri kötüye kullanıyor.
Signal Hackerları
26 Haziran’da yayınlanan güncellenmiş uyarıya göre, Rus İstihbarat Servisleri bağlantılı aktörler, hedefleri Signal kurtarma anahtarlarını ortaya çıkarmaya zorlamak için kendilerini otomatik destek hesapları gibi gösteriyor.
Bildirim, Mart uyarısında yer almayan UNC5792 ve UNC4221’i tanımlıyor ve faaliyeti, FSB Sınır Muhafızları içinde konumlandırılmış FSB subayları da dahil olmak üzere Rus istihbarat gruplarına bağlıyor.
Kampanya, kurumların “yüksek istihbarat değeri” taşıdığını söylediği kişileri hedef alıyor; bunlar arasında mevcut ve eski ABD ve uluslararası yetkililer, askeri personel, siyasi figürler, gazeteciler ve Ukrayna’daki yetkililer yer alıyor.
Önceki sürümlerde hedeflerden doğrulama kodları ve hesap PIN’leri isteniyor ya da saldırganın cihazını hesaba bağlamak için sahte grup davet bağlantıları kullanılıyordu.
Yeni sürüm ise kullanıcılara Signal yedeklerini etkinleştirmelerini, kurtarma anahtarı ekranını açmalarını ve anahtarı sohbete yapıştırmalarını söylüyor.
Ayrıca Oku: Claude Fable 5, Washington Anthropic Çatışmasını Yumuşatırken Geri Dönebilecek
FBI Uyarısı
FBI’a göre örnek mesajlardan biri, zorunlu iki faktörlü kimlik doğrulama geçişi gibi çerçevelenirken, bir diğeri mesaj kaybını önlemek için acil veri kurtarma gerektiğini iddia ediyordu.
Hedef anahtarı paylaşırsa, saldırganlar yedeği geri yükleyebilir, özel ve grup mesaj geçmişini okuyabilir ve hesabı ele geçirebilir. Anahtar, kurban telefonunu değiştirdikten veya aynı numarayı kullanarak yeni bir hesap oluşturduktan sonra bile geçerli kalabilir.
Signal ayarlarında yeni bir anahtar üretmek, eski anahtarı gelecekteki yedek indirmeleri için geçersiz kılar, ancak daha önce erişilmiş bir yedeği geri almaz.
Bu taktik Signal şifrelemesini ya da uygulamanın kendisini boşa çıkarmıyor. Başarılı olmasının nedeni, kurbanların yedeklerini koruyan kimlik bilgilerini vermeye ikna edilmesi.
Dışişleri Bakanlığı Adalet İçin Ödüller programı, UNC5792 hakkında bilgi için 10 milyon dolara kadar ödül sunuyor.
Google Threat Intelligence Group, araştırmacılar WhatsApp ve Telegram’ı hedef alan benzer yöntemleri görmeden önce, 2025’in başlarında UNC5792’nin Signal’in bağlı cihaz özelliğini kötüye kullandığını belgeledi.
Sırada Oku: PUMP, Protokol Verileri Sıçramanın Kırılgan Olabileceği Konusunda Uyarırken %12 Yükseldi