De Verenigde Staten bieden een beloning van maximaal 10 miljoen dollar voor informatie over Russische staatsgebonden hackers die ervan worden beschuldigd Signal-gebruikers te hebben getarget, waaronder NAVO-functionarissen, overheidspersoneel, journalisten en mensen met connecties met Oekraïne.
De beloning werd aangekondigd onder het Rewards for Justice-programma van het Amerikaanse ministerie van Buitenlandse Zaken, dat informatie zoekt over buitenlandse cyberactoren die tegen de nationale veiligheidsbelangen van de VS ingaan. De campagne is in verband gebracht met Russische inlichtingendiensten en richt zich op het compromitteren van veilige berichtenaccounts via social engineering in plaats van het kraken van encryptie.
Volgens de Amerikaanse autoriteiten hebben de aanvallers gebruikers van Signal getarget door te proberen gevoelige accountherstelinformatie te verkrijgen. In recente waarschuwingen zeiden de FBI en CISA dat Russische inlichtingen-gelieerde hackers zijn overgestapt van het stelen van verificatiecodes naar het targeten van Signal Backup Recovery Keys, waarmee aanvallers versleutelde back-ups kunnen herstellen en eerdere gesprekken kunnen raadplegen.
De activiteit is vooral zorgwekkend omdat Signal veel wordt gebruikt door functionarissen, activisten, journalisten, militair personeel en diplomatiek personeel die afhankelijk zijn van versleutelde berichten voor gevoelige communicatie. Door herstelsleutels of andere toegangsgegevens te verkrijgen, kunnen aanvallers mogelijk back-upberichten lezen zonder misbruik te maken van een kwetsbaarheid in Signal zelf.
Amerikaanse instanties hebben de activiteiten toegeschreven aan de Russische inlichtingendiensten, waaronder groepen die verbonden zijn aan de FSB en militaire inlichtingenoperaties. De campagne overlapt naar verluidt met activiteiten die door beveiligingsonderzoekers worden gevolgd als UNC5792 en UNC4221.
De aanvallen zijn ontworpen om eruit te zien als legitieme beveiligings- of herstelprompts. Slachtoffers kunnen berichten ontvangen waarin wordt beweerd dat ze back-ups moeten inschakelen, een beveiligingsupdate moeten voltooien of verlies van berichten moeten voorkomen. Het doel is om de gebruiker te overtuigen om herstelinformatie vrijwillig te delen.
De autoriteiten benadrukten dat Signal zelf niet is gehackt. Het risico komt voort uit phishing en social engineering, waarbij aanvallers gebruikers manipuleren om inloggegevens of herstelsleutels af te staan die nooit gedeeld mogen worden.
De Amerikaanse overheid vraagt iedereen met informatie over de hackers, hun infrastructuur, hun operators of gerelateerde activiteiten om zich te melden. In aanmerking komende tips kunnen tot 10 miljoen dollar ontvangen als ze helpen individuen te identificeren of op te sporen die onder leiding of controle van een buitenlandse overheid opereren.
De waarschuwing komt te midden van groeiende bezorgdheid over Russische cyberoperaties gericht op NAVO-leden, doelen met een relatie tot Oekraïne en westerse regeringsfunctionarissen. Veilige berichtenplatforms zijn waardevolle doelwitten geworden omdat ze vaak gevoelige politieke, diplomatieke en militaire communicatie bevatten.
Beveiligingsinstanties adviseren Signal-gebruikers om nooit verificatiecodes, pincodes of back-up herstelsleutels te delen, zelfs niet als een verzoek van Signal-ondersteuning lijkt te komen. Gebruikers moeten ook gekoppelde apparaten bekijken, onbekende sessies verwijderen en een nieuwe herstelsleutel genereren als ze denken dat de oude mogelijk is blootgesteld.