FBI та CISA попереджають, що російські хакери здійснюють фішинг-атаки на користувачів Signal, щоб отримати ключі відновлення резервних копій, які дають змогу розблокувати архіви повідомлень.
Основні моменти:
- Хакери, пов’язані з російською розвідкою, полюють на ключі відновлення резервних копій Signal, а не лише на коди чи PIN-коди.
- Викрадений ключ дозволяє зловмисникам відновити резервні копії, читати особисті та групові чати й зберігати доступ, прив’язаний до того самого номера.
- Кампанія зловживає соціальною інженерією та легітимними функціями, а не шифруванням Signal.
Злом Signal
Оновлене попередження, опубліковане 26 червня, повідомляє, що актори, пов’язані зі Службами російської розвідки, видають себе за автоматизовані облікові записи підтримки, щоб змусити цілі розкрити свої ключі відновлення Signal.
У повідомленні названо UNC5792 та UNC4221 – імена, яких не було в березневому попередженні, – і пов’язано цю активність із російськими розвідувальними групами, зокрема зі співробітниками ФСБ, які працюють у складі прикордонної служби ФСБ.
Кампанія націлена на людей, яких агентства описують як осіб з «високою розвідувальною цінністю», включно з чинними й колишніми посадовцями США та інших країн, військовими, політичними діячами, журналістами та посадовцями в Україні.
Раніші версії шахрайства просили цілі надати коди підтвердження та PIN-коди облікового запису або використовували фальшиві посилання-запрошення в групи, щоб під’єднати пристрій зловмисника до облікового запису.
Нова версія інструкцій закликає користувачів увімкнути резервні копії в Signal, відкрити екран із ключем відновлення та вставити цей ключ у чат.
Також читайте: Claude Fable 5 може повернутися, оскільки Вашингтон пом’якшує протистояння з Anthropic
Попередження ФБР
За словами ФБР, один із зразків повідомлення був оформлений як обов’язкове впровадження двофакторної автентифікації, тоді як інший стверджував, що для запобігання втраті повідомлень терміново потрібне відновлення даних.
Якщо ціль поділиться ключем, зловмисники можуть відновити резервну копію, прочитати історію особистих і групових повідомлень та захопити обліковий запис. Ключ може залишатися дійсним навіть після того, як жертва змінить телефон або створить новий обліковий запис з тим самим номером.
Створення нового ключа в налаштуваннях Signal робить старий недійсним для майбутніх завантажень резервних копій, але це не скасовує доступ до резервних копій, які вже були прочитані.
Ця тактика не ламає шифрування Signal і не компрометує сам застосунок. Вона працює тому, що жертви погоджуються передати облікові дані, які захищають їхні резервні копії.
Програма State Department Rewards for Justice пропонує винагороду до 10 мільйонів доларів за інформацію про UNC5792.
Google Threat Intelligence Group задокументувала, як UNC5792 зловживав функцією під’єднаних пристроїв у Signal на початку 2025 року, ще до того, як дослідники помітили подібну тактику, спрямовану на WhatsApp і Telegram.
Читайте далі: PUMP зростає на 12%, тоді як Protocol Data попереджає, що відновлення може бути крихким