Gli Stati Uniti offrono una ricompensa fino a 10 milioni di dollari per informazioni su hacker russi legati allo Stato accusati di aver preso di mira utenti di Signal, inclusi funzionari della NATO, personale governativo, giornalisti e persone collegate all’Ucraina.
La ricompensa è stata annunciata nell’ambito del programma Rewards for Justice del Dipartimento di Stato USA, che cerca informazioni su attori informatici stranieri che agiscono contro gli interessi della sicurezza nazionale statunitense. La campagna è stata collegata ai servizi segreti russi e si concentra sul compromettere gli account di messaggistica sicuri tramite l’ingegneria sociale piuttosto che sulla violazione della crittografia.
Secondo le autorità statunitensi, gli attaccanti hanno preso di mira gli utenti di Signal cercando di ottenere informazioni sensibili sul recupero degli account. In recenti avvertimenti, FBI e CISA hanno dichiarato che gli hacker collegati ai servizi di intelligence russi sono passati dal rubare codici di verifica al mirare alle Signal Backup Recovery Keys, che possono permettere agli attaccanti di ripristinare backup dei messaggi criptati e accedere a conversazioni passate.
L’attività è particolarmente preoccupante perché Signal è ampiamente utilizzato da funzionari, attivisti, giornalisti, militari e personale diplomatico che si affidano a messaggi criptati per comunicazioni sensibili. Ottenendo chiavi di recupero o altre credenziali di accesso all’account, gli attaccanti possono essere in grado di leggere i messaggi di backup senza sfruttare una vulnerabilità di Signal stesso.
Le agenzie statunitensi hanno attribuito l’attività ai servizi di intelligence russi, inclusi gruppi associati all’FSB e alle operazioni legate all’intelligence militare. La campagna si sovrappone a attività monitorate dai ricercatori della sicurezza come UNC5792 e UNC4221.
Gli attacchi sono progettati per sembrare veri prompt di sicurezza o recupero. Le vittime possono ricevere messaggi che affermano di dover abilitare i backup, completare un aggiornamento di sicurezza o prevenire la perdita di messaggi. L’obiettivo è convincere l’utente a condividere volontariamente le informazioni di recupero.
Le autorità hanno sottolineato che Signal stesso non è stato hackerato. Il rischio deriva dal phishing e dall’ingegneria sociale, dove gli aggressori manipolano gli utenti affinché consegnino credenziali o chiavi di recupero che non dovrebbero mai essere condivise.
Il governo degli Stati Uniti chiede a chiunque abbia informazioni sugli hacker, sulle loro infrastrutture, sui loro operatori o sulle attività correlate di farsi avanti. Le segnalazioni idonee potrebbero ricevere fino a 10 milioni di dollari se aiutano a identificare o localizzare individui che agiscono sotto la direzione o il controllo di un governo straniero.
L’avvertimento arriva in un contesto di crescente preoccupazione per le operazioni cibernetiche russe rivolte ai membri della NATO, obiettivi legati all’Ucraina e funzionari del governo occidentale. Le piattaforme di messaggistica sicure sono diventate bersagli di alto valore perché spesso contengono comunicazioni politiche, diplomatiche e militari sensibili.
Le agenzie di sicurezza consigliano agli utenti di Signal di non condividere mai codici di verifica, PIN o Chiavi di Recupero di Backup, anche se una richiesta sembra provenire dal supporto Signal. Gli utenti dovrebbero anche esaminare i dispositivi collegati, rimuovere sessioni sconosciute e generare una nuova chiave di recupero se ritengono che quella precedente possa essere stata esposta.