Das FBI und die Cybersecurity and Infrastructure Security Agency (CISA) haben gewarnt, dass russische Geheimdienst-Hacker eine neue Taktik gegen Signal-Nutzer angewandt haben, indem sie versuchen, Backup-Wiederherstellungsschlüssel statt Verifizierungscodes zu stehlen und so Zugang zur verschlüsselten Nachrichtenhistorie der Opfer zu erhalten.
Er updated public service announcement erweitert eine im März veröffentlichte Warnung, die warnte, dass russische Geheimdienste Nutzer sicherer Messaging-Apps durch Phishing-Kampagnen ins Visier nehmen. Laut FBI haben die Angreifer ihren Fokus nun auf Signal Backup Recovery Keys verlagert, die es ihnen ermöglichen, Nachrichten-Backups wiederherzustellen und auf historische Konversationen zuzugreifen, ohne die End-to-End-Verschlüsselung von Signal zu knacken.
Die Kampagne wird russischen Nachrichtendiensten (RIS) zugeschrieben, darunter Betreiber, die mit dem Föderalen Sicherheitsdienst (FSB) verbunden sind, sowie anderen mit militärischen Nachrichtendiensten verbundenen Gruppen. Die Aktivität wird öffentlich als UNC5792 und UNC4221 erfasst. Die Hauptziele sind aktuelle und ehemalige Regierungsbeamte, Militärangehörige, Journalisten, politische Persönlichkeiten sowie Beamte mit Verbindungen zur Ukraine.
Im Gegensatz zu früheren Phishing-Versuchen, bei denen einmalige Verifizierungscodes oder Konto-PINs gesucht wurden, ermutigen die neuesten Nachrichten die Opfer, Signal-Backups zu aktivieren und dann ihren Backup-Wiederherstellungsschlüssel unter dem Vorwand eines verpflichtenden Sicherheitsupdates oder einer Datenwiederherstellung zu teilen.
Wenn ein Opfer den Wiederherstellungsschlüssel bereitstellt, können Angreifer die verschlüsselten Backups des Kontos wiederherstellen, sowohl private als auch Gruppengespräche lesen und möglicherweise Zugriff auf zukünftige Backups behalten. Laut FBI kann dieser Zugriff auch dann bestehen bleiben, wenn das Opfer das Gerät wechselt oder ein neues Signal-Konto mit derselben Telefonnummer erstellt, es sei denn, ein neuer Wiederherstellungsschlüssel wird generiert.
Die Behörden betonten, dass die Angriffe keine Schwachstellen in Signal selbst ausnutzen. Stattdessen verlassen sie sich vollständig auf Social Engineering und überzeugen Nutzer dazu, sensible Kontodaten durch überzeugende Phishing-Nachrichten, die Signal-Support nachahmen, herauszugeben.
Forscher sagen, dass die Phishing-Nachrichten fälschlicherweise behaupten, Signal führe nach zunehmenden Angriffen ausländischer Hacker eine verpflichtende Zwei-Faktor-Authentifizierung ein. Andere warnen, dass Nachrichten Gefahr laufen zu gehen, verloren zu gehen, sofern die Nutzer keinen dringenden Wiederherstellungsprozess durchführen, und weisen sie an, ihren Backup-Wiederherstellungsschlüssel preiszugeben.
Das FBI rät Nutzern, niemals ihren Backup-Wiederherstellungsschlüssel, Verifizierungscode oder PIN mit jemandem zu teilen, selbst wenn die Anfrage offenbar von Signal stammt. Nutzer sollten außerdem regelmäßig die verknüpften Geräte der App überprüfen, unbekannte Verbindungen entfernen und einen neuen Backup-Wiederherstellungsschlüssel generieren, wenn sie vermuten, dass dieser offengelegt wurde.