FBI 和 CISA 警示,俄罗斯黑客正通过网络钓鱼诱骗 Signal 用户泄露备份恢复密钥,从而解锁消息归档。
要点:
- 与俄罗斯情报机构有关的黑客正试图获取 Signal 备份恢复密钥,而不仅仅是验证码或 PIN 码。
- 一旦密钥被盗,攻击者即可恢复备份、读取私聊和群组聊天,并继续把访问权限绑定在同一号码上。
- 该行动利用的是社会工程和合法功能,而不是攻击 Signal 的加密本身。
Signal 黑客行动
更新后的公告于 6 月 26 日发布,称与俄罗斯情报机构有关的威胁行为者正冒充自动化客服账号,诱导目标泄露 Signal 恢复密钥。
公告点名 UNC5792 和 UNC4221,这两个名字在 3 月的警告中尚未出现,并将这些活动与俄罗斯情报组织联系起来,其中包括嵌入在俄联邦安全局(FSB)边防部队中的 FSB 官员。
该行动瞄准被机构描述为“具有高情报价值”的人群,包括现任和前任美国及其他国家官员、军方人员、政治人物、记者以及在乌克兰的官员。
早期版本的钓鱼信息主要索要验证代码和账号 PIN 码,或利用伪造的群组邀请链接,将攻击者的设备连接到账户上。
新一轮攻击则要求用户启用 Signal 备份,打开恢复密钥界面,并把密钥粘贴到聊天中。
延伸阅读:Claude Fable 5 或将回归,华盛顿缓和与 Anthropic 僵局
FBI 警告
FBI 称,其中一条样本消息声称正在强制推行双重身份验证,另一条则宣称为防止消息丢失,必须紧急进行数据恢复。
一旦目标分享了恢复密钥,攻击者就能恢复备份,读取私聊和群聊的历史消息,并接管账号。即使受害者更换手机,或用相同号码注册新账号,该密钥仍可能继续有效。
在 Signal 设置中生成一个新的恢复密钥,可以使旧密钥在未来下载备份时失效,但无法逆转攻击者此前已访问过的备份。
这一手法并未攻破 Signal 的端到端加密或应用本身,而是通过说服受害者交出保护其备份的凭证来生效。
美国国务院的“正义奖励”项目为提供 UNC5792 相关情报的人提供最高 1000 万美元的赏金。
Google 威胁情报团队曾在 2025 年初记录了 UNC5792 滥用 Signal 关联设备功能的行为,随后研究人员在针对 WhatsApp 和 Telegram 的攻击中也观察到了类似的作案手法。