FBI та CISA попереджають, що російські хакери проводять фішинг проти користувачів Signal, щоб отримати ключі відновлення резервних копій, які можуть розблокувати архіви повідомлень.
Ключові моменти:
- Хакери, пов’язані з російськими спецслужбами, полюють на ключі відновлення резервних копій Signal, а не лише на коди чи PIN.
- Викрадений ключ дозволяє зловмисникам відновити резервні копії, читати приватні та групові чати й зберігати доступ, прив’язаний до того самого номера.
- Кампанія базується на соціальній інженерії та використанні легітимних функцій, а не на зламі шифрування Signal.
Хакери в Signal
Оновлене попередження, опубліковане 26 червня, повідомляє, що актори, пов’язані з російськими спецслужбами, видають себе за автоматизовані облікові записи підтримки, щоб змусити цілі розкрити ключі відновлення Signal.
У повідомленні названо UNC5792 та UNC4221 — імена, яких не було в попередженні за березень, — і пов’язано цю активність із російськими розвідувальними групами, зокрема з офіцерами ФСБ, вбудованими в Прикордонну службу ФСБ.
Кампанія націлена на людей, яких відомства описують як осіб із «високою розвідувальною цінністю»: нинішніх і колишніх чиновників США та інших країн, військовослужбовців, політичних діячів, журналістів та посадовців в Україні.
Раніше зловмисники просили цілі надіслати коди підтвердження та PIN-коди облікового запису або використовували фальшиві посилання-запрошення в групи, щоб під’єднати пристрій атакувальника до облікового запису.
У новішій версії жертвам кажуть увімкнути резервні копії Signal, відкрити екран ключа відновлення та вставити ключ у чат.
Також читайте: Claude Fable 5 May Return As Washington Softens Anthropic Standoff
Попередження ФБР
ФБР повідомило, що один із зразків повідомлення був оформлений як обов’язкове впровадження двофакторної автентифікації, тоді як інший нібито попереджав про термінове відновлення даних, потрібне, щоб запобігти втраті повідомлень.
Якщо ціль передає ключ, зловмисники можуть відновити резервну копію, прочитати історію приватних і групових повідомлень та захопити обліковий запис. Ключ може залишатися чинним навіть після того, як жертва змінює телефон або створює новий обліковий запис із тим самим номером.
Створення нового ключа в налаштуваннях Signal анулює попередній для майбутніх завантажень резервних копій, але не скасовує доступу до тих копій, які вже були відновлені.
Ця тактика не зламує шифрування Signal і не компрометує сам застосунок. Вона працює тому, що жертв переконують віддати облікові дані, які захищають їхні резервні копії.
Програма State Department Rewards for Justice пропонує до 10 мільйонів доларів за інформацію про UNC5792.
Google Threat Intelligence Group задокументувала, як UNC5792 зловживав функцією прив’язаних пристроїв у Signal на початку 2025 року, ще до того, як дослідники побачили подібні методи проти WhatsApp і Telegram.
Читайте далі: PUMP Gains 12% While Protocol Data Warns The Rebound May Be Fragile