FBI 和 CISA 警告,俄羅斯駭客正在對 Signal 使用者發動釣魚攻擊,鎖定可以解鎖訊息備份的備份復原金鑰。
重點:
- 與俄羅斯情報單位有關的駭客正在尋找的是 Signal 備份復原金鑰,而不只是驗證碼或 PIN 碼。
- 一旦金鑰被竊取,攻擊者就能還原備份、閱讀私人與群組對話,並維持與同一電話號碼綁定的存取權。
- 這波行動濫用的是社交工程與合法功能,而不是攻擊 Signal 的加密機制。
Signal 駭客攻擊
更新後的安全公告在 6 月 26 日發布,指出與俄羅斯情報機構有關的行動者,假冒自動化客服帳號,誘使目標曝光 Signal 復原金鑰。
通知中點名 UNC5792 和 UNC4221,這兩個名稱在 3 月的警示中尚未出現,並將其活動連結到俄羅斯情報單位,包括派駐在俄羅斯聯邦安全局(FSB)邊防軍中的 FSB 官員。
這波行動鎖定的是被機構視為「具高度情報價值」的人士,包括現任與前任美國及國際官員、軍事人員、政治人物、記者,以及烏克蘭官員。
較早期的版本會向目標索取驗證碼和帳戶 PIN 碼,或利用假群組邀請連結,將攻擊者的裝置連到受害者帳號。
新版攻擊則指示使用者啟用 Signal 備份、打開復原金鑰畫面,並將金鑰貼到聊天室中。
延伸閱讀:Claude Fable 5 可能回歸:華府與 Anthropic 對峙態度轉趨和緩
FBI 警告
FBI 表示,其中一則範例訊息宣稱這是強制啟用的雙重驗證措施,另一則則聲稱為避免訊息遺失,必須立刻進行資料復原。
如果目標分享了金鑰,攻擊者就能還原備份、閱讀私人與群組訊息紀錄,並接管帳號。就算受害者之後換手機,或使用同一號碼建立新帳號,該金鑰仍可能繼續有效。
在 Signal 設定中產生新金鑰,可以讓舊金鑰在未來下載備份時失效,但無法「收回」攻擊者已經存取過的備份。
這種手法並沒有破解 Signal 的加密或攻擊 App 本身,而是利用受害者受騙,主動交出保護其備份的憑證。
美國國務院的「正義獎勵」(Rewards for Justice)計畫,對提供 UNC5792 情資者開出最高 1000 萬美元的懸賞。
**Google 威脅情報小組(Threat Intelligence Group)**曾記錄到 UNC5792 在 2025 年初濫用 Signal 的已連結裝置功能,之後研究人員又在針對 WhatsApp 和 Telegram 的攻擊中,看到類似的手法。