L’FBI e la Cybersecurity and Infrastructure Security Agency (CISA) hanno avvertito che gli hacker dell’intelligence russa hanno adottato una nuova tattica contro gli utenti di Signal tentando di rubare le chiavi di recupero di backup invece dei codici di verifica, dando loro accesso alla cronologia dei messaggi criptati delle vittime.
Approfondisce updated public service announcement un avviso pubblicato a marzo, che avvertiva che i servizi segreti russi stavano prendendo di mira gli utenti di app di messaggistica sicure tramite campagne di phishing. Secondo l’FBI, gli attaccanti hanno ora spostato la loro attenzione sulle Signal Backup Recovery Keys, permettendo loro di ripristinare i backup dei messaggi e accedere alle conversazioni storiche senza violare la crittografia end-to-end di Signal.
La campagna è attribuita ai Servizi di Intelligence Russi (RIS), inclusi operatori associati al Servizio Federale di Sicurezza (FSB) e ad altri gruppi legati all’intelligence militare. L’attività viene tracciata pubblicamente come UNC5792 e UNC4221. Gli obiettivi principali includono funzionari governativi attuali ed ex, personale militare, giornalisti, figure politiche e funzionari collegati all’Ucraina.
A differenza dei precedenti tentativi di phishing che richiedevano codici di verifica una tantum uso o PIN dell’account, i messaggi più recenti incoraggiano le vittime ad abilitare i backup di Signal e poi a condividere la loro Backup Recovery Key sotto la copertura di un aggiornamento di sicurezza obbligatorio o di una procedura di recupero dati.
Se una vittima fornisce la chiave di recupero, gli attaccanti possono ripristinare i backup criptati dell’account, leggere sia le conversazioni private che quelle di gruppo e, potenzialmente, mantenere l’accesso ai backup futuri. Secondo l’FBI, questo accesso può persistere anche se la vittima cambia dispositivo o crea un nuovo account Signal usando lo stesso numero di telefono, a meno che non venga generata una nuova chiave di recupero.
Le agenzie hanno sottolineato che gli attacchi non sfruttano le vulnerabilità di Signal stesso. Invece, si affidano interamente all’ingegneria sociale, convincendo gli utenti a consegnare credenziali sensibili degli account attraverso messaggi di phishing convincenti che si spacciano per il supporto Signal.
I ricercatori affermano che i messaggi di phishing affermano erroneamente che Signal stia implementando l’autenticazione obbligatoria a due fattori a seguito di un aumento degli attacchi da parte di hacker stranieri. Altri avvertono che i messaggi rischiano di andare persi a meno che gli utenti non completino un processo di recupero urgente, indirizzando loro a rivelare la chiave di recupero del backup.
L’FBI consiglia agli utenti di non condividere mai la Chiave di Recupero di Backup, il codice di verifica o il PIN con nessuno, anche se la richiesta sembra provenire da Signal. Gli utenti dovrebbero anche controllare regolarmente i dispositivi collegati all’app, rimuovere eventuali connessioni sconosciute e generare una nuova Backup Recovery Key se sospettano che possa essere stata esposta.