FBI 與 CISA 警告,俄羅斯黑客正針對 Signal 使用者發動釣魚攻擊,詐取備份復原金鑰,以解鎖訊息封存。
重點整理:
- 與俄羅斯情報單位有關的駭客鎖定的是 Signal 備份復原金鑰,而不只是驗證碼或 PIN 碼。
- 一旦金鑰遭竊,攻擊者就能還原備份、閱讀私人與群組聊天紀錄,並維持與同一電話號碼綁定的存取權。
- 這波行動利用的是社交工程與合法功能,而不是攻擊 Signal 的加密機制。
Signal 駭客行動
更新後的通告在 6 月 26 日發布,指出與俄羅斯情報機構有關的行動者,假扮成自動化客服帳號,誘使目標洩露 Signal 復原金鑰。
通告點名 UNC5792 與 UNC4221,這兩個名稱在 3 月的警告中並未出現,並把相關活動連結到俄羅斯情報單位,包括與俄羅斯聯邦安全局(FSB)邊防軍同隊的 FSB 官員。
行動目標鎖定被機構形容為「具高度情報價值」的人士,包括現任與前任美國及國際官員、軍方人員、政治人物、記者,以及烏克蘭官員。
早期版本會要求目標提供驗證碼與帳號 PIN 碼,或利用假冒的群組邀請連結,將攻擊者的裝置連上受害者帳號。
新一輪手法則是指示用戶開啟 Signal 備份功能,打開復原金鑰畫面,並把該金鑰貼到聊天視窗中。
延伸閱讀: Claude Fable 5 May Return As Washington Softens Anthropic Standoff
FBI 警告內容
FBI 表示,其中一則範例訊息宣稱是強制啟用雙重驗證的通知,另一則則謊稱必須緊急進行資料復原,以避免訊息遺失。
一旦目標分享了金鑰,攻擊者就能還原備份、閱讀私人與群組訊息歷史紀錄,並接管帳號。即使受害者之後換手機,或用同一電話號碼建立新帳號,這組金鑰仍可能維持有效。
在 Signal 設定中產生新金鑰,能讓舊金鑰在未來下載備份時失效,但無法收回攻擊者已經取用過的任何備份。
這種做法並沒有擊破 Signal 的加密或應用程式本身,而是利用受害者被說服、主動交出保護備份的憑證。
美國國務院的「正義獎賞」(Rewards for Justice)計畫,正針對 UNC5792 提供最高 1,000 萬美元的舉報獎金。
**Google 威脅情報小組(Google Threat Intelligence Group)**記錄到 UNC5792 在 2025 年初,就開始濫用 Signal 的「連結裝置」功能,隨後研究人員又在 WhatsApp 與 Telegram 上看到類似的攻擊手法。
下一篇閱讀: PUMP Gains 12% While Protocol Data Warns The Rebound May Be Fragile