De FBI en de Cybersecurity and Infrastructure Security Agency (CISA) hebben gewaarschuwd dat Russische inlichtingenhackers een nieuwe tactiek hebben toegepast tegen Signal-gebruikers door te proberen back-upherstelsleutels te stelen in plaats van verificatiecodes, waardoor ze toegang krijgen tot de versleutelde berichtgeschiedenis van slachtoffers.
Het updated public service announcement bouwt voort op een advies dat in maart werd uitgebracht, waarin werd gewaarschuwd dat Russische inlichtingendiensten gebruikers van beveiligde berichtenapps via phishingcampagnes aanpakken. Volgens de FBI hebben de aanvallers hun focus nu verlegd naar Signal Backup Recovery Keys, waarmee ze back-ups van berichten kunnen herstellen en historische gesprekken kunnen benaderen zonder de end-to-end encryptie van Signal te breken.
De campagne wordt toegeschreven aan de Russische inlichtingendiensten (RIS), waaronder operators die verbonden zijn aan de Federale Veiligheidsdienst (FSB) en andere militaire inlichtingengroepen. De activiteit wordt publiekelijk bijgehouden als UNC5792 en UNC4221. De belangrijkste doelwitten zijn huidige en voormalige regeringsfunctionarissen, militair personeel, journalisten, politieke figuren en functionarissen met banden aan Oekraïne.
In tegenstelling tot eerdere phishingpogingen waarbij eenmalige verificatiecodes of account-pincodes werden gezocht, moedigen de laatste berichten slachtoffers aan om Signal-back-ups in te schakelen en vervolgens hun Backup Recovery Key te delen onder het mom van een verplichte beveiligingsupdate of gegevensherstelprocedure.
Als een slachtoffer de herstelsleutel verstrekt, kunnen aanvallers de versleutelde back-ups van het account herstellen, zowel privé- als groepsgesprekken lezen en mogelijk toegang behouden tot toekomstige back-ups. Volgens de FBI kan deze toegang blijven bestaan, zelfs als het slachtoffer van apparaat wisselt of een nieuw Signal-account aanmaakt met hetzelfde telefoonnummer, tenzij er een nieuwe herstelsleutel wordt gegenereerd.
De instanties benadrukten dat de aanvallen geen misbruik maken van kwetsbaarheden in Signal zelf. In plaats daarvan vertrouwen ze volledig op social engineering, waarbij gebruikers worden overtuigd gevoelige accountgegevens af te geven via overtuigende phishingberichten die zich voordoen als Signal-support.
Onderzoekers zeggen dat de phishingberichten ten onrechte beweren dat Signal verplichte tweefactorauthenticatie invoert na toegenomen aanvallen van buitenlandse hackers. Anderen waarschuwen dat berichten het risico lopen verloren te gaan tenzij gebruikers een spoedeisend herstelproces voltooien en hen opdragen hun back-up herstelsleutel te onthullen.
De FBI adviseert gebruikers om hun Backup Recovery Key, verificatiecode of pincode nooit met iemand te delen, zelfs als het verzoek van Signal lijkt te komen. Gebruikers moeten ook regelmatig de gekoppelde apparaten van de app controleren, onbekende verbindingen verwijderen en een nieuwe Backup Recovery Key genereren als ze vermoeden dat deze mogelijk is blootgesteld.