Estados Unidos ofrece una recompensa de hasta 10 millones de dólares por información sobre hackers vinculados al Estado ruso acusados de atacar a usuarios de Signal, incluidos funcionarios de la OTAN, personal gubernamental, periodistas y personas vinculadas a Ucrania.
La recompensa fue anunciada dentro del programa Rewards for Justice del Departamento de Estado de EE. UU., que busca información sobre actores cibernéticos extranjeros que actúan en contra de intereses de seguridad nacional estadounidenses. La campaña ha sido vinculada a los servicios de inteligencia rusos y se centra en comprometer cuentas de mensajería segura mediante ingeniería social en lugar de romper cifrado.
Según las autoridades estadounidenses, los atacantes han atacado a los usuarios de Signal intentando obtener información sensible para recuperar la cuenta. En advertencias recientes, el FBI y la CISA dijeron que los hackers vinculados a la inteligencia rusa han pasado de robar códigos de verificación a atacar las Claves de Recuperación de Copia de Seguridad de Señales, que pueden permitir a los atacantes restaurar copias de seguridad cifradas de mensajes y acceder a conversaciones pasadas.
La actividad es especialmente preocupante porque Signal es ampliamente utilizado por funcionarios, activistas, periodistas, personal militar y personal diplomático que dependen de mensajes cifrados para comunicaciones sensibles. Al obtener claves de recuperación u otras credenciales de acceso a la cuenta, los atacantes pueden leer mensajes respaldados sin explotar una vulnerabilidad en el propio Signal.
Las agencias estadounidenses han atribuido la actividad a los Servicios de Inteligencia rusos, incluidos grupos asociados con el FSB y operaciones vinculadas a la inteligencia militar. Según se informa, la campaña se solapa con la actividad que los investigadores de seguridad han seguido a medida que UNC5792 y UNC4221.
Los ataques están diseñados para parecer indicaciones legítimas de seguridad o recuperación. Las víctimas pueden recibir mensajes que afirman que deben habilitar copias de seguridad, completar una actualización de seguridad o evitar la pérdida de mensajes. El objetivo es convencer al usuario para que comparta la información de recuperación de forma voluntaria.
Las autoridades subrayaron que Signal en sí no ha sido hackeado. El riesgo proviene del phishing y la ingeniería social, donde los atacantes manipulan a los usuarios para que entreguen credenciales o claves de recuperación que nunca deberían compartirse.
El gobierno de Estados Unidos pide a cualquier persona que tenga información sobre los hackers, su infraestructura, sus operadores o actividades relacionadas que se presente. Los avisos elegibles podrían recibir hasta 10 millones de dólares si ayudan a identificar o localizar a personas que actúan bajo la dirección o control de un gobierno extranjero.
La advertencia llega en medio de una creciente preocupación por las operaciones cibernéticas rusas dirigidas a miembros de la OTAN, objetivos vinculados a Ucrania y funcionarios del gobierno occidental. Las plataformas de mensajería segura se han convertido en objetivos de alto valor porque a menudo contienen comunicaciones políticas, diplomáticas y militares sensibles.
Las agencias de seguridad aconsejan a los usuarios de Signal nunca compartir códigos de verificación, PINs ni claves de recuperación de copia de seguridad, incluso si una solicitud parece provenir del soporte de Signal. Los usuarios también deberían revisar los dispositivos vinculados, eliminar sesiones desconocidas y generar una nueva clave de recuperación si creen que la antigua pudo haber quedado expuesta.