FBI 和 CISA 警告称,俄罗斯黑客正在通过网络钓鱼诱骗 Signal 用户泄露备份恢复密钥,从而解锁消息归档。
要点概览:
- 与俄罗斯情报相关的黑客正在寻找的是 Signal 备份恢复密钥,而不仅仅是验证码或 PIN 码。
- 一旦密钥被盗,攻击者就能恢复备份,读取私人和群组聊天,并保持与同一电话号码绑定的持续访问。
- 此次行动滥用的是社会工程和合法功能,而不是攻击 Signal 的加密本身。
Signal 黑客行动
更新后的通告于 6 月 26 日发布,称与俄罗斯情报部门有关的行为者正伪装成自动客服账号,迫使目标泄露 Signal 恢复密钥。
通告点名了 UNC5792 和 UNC4221,这两个名称在 3 月的预警中尚未出现,并将这些活动与俄罗斯情报组织联系起来,包括嵌入在俄联邦安全局(FSB)边防军中的 FSB 军官。
此次行动瞄准的是机构所称“具有高情报价值”的人群,包括现任和前任美国及国际官员、军方人员、政治人物、记者以及乌克兰官员。
早期版本的攻击主要向目标索要验证码和账号 PIN,或者使用伪造的群聊邀请链接,将攻击者的设备连接到账户上。
新一轮攻击则诱导用户开启 Signal 备份,打开恢复密钥界面,并将该密钥粘贴到聊天窗口中。
延伸阅读:Claude Fable 5 或将回归,因华盛顿缓和与 Anthropic 的对峙
FBI 警告
FBI 表示,一条攻击样本消息将请求包装成强制启用双重身份验证的通知,另一条则声称为防止消息丢失,需要立即进行数据恢复。
一旦目标分享了恢复密钥,攻击者就可以恢复备份,读取私人和群组消息历史,并接管该账号。即便受害者更换手机,或用同一号码创建新账号,该密钥仍可能继续有效。
在 Signal 设置中生成新的恢复密钥,可以让旧密钥在未来下载备份时失效,但无法撤销攻击者已经访问过的任何备份。
这一手法并没有破解 Signal 的加密或应用本身,而是通过说服受害者主动交出保护其备份的凭据来实现攻击。
美国国务院的“悬赏缉拿正义”(Rewards for Justice)项目,正为获取关于 UNC5792 的情报提供最高 1000 万美元的奖励。
Google 威胁情报小组在 2025 年初记录到 UNC5792 滥用 Signal 的“关联设备”功能,早于研究人员在 WhatsApp 和 Telegram 上发现类似攻击手法的时间。