O FBI e a Agência de Segurança de Cibersegurança e Infraestrutura (CISA) alertaram que hackers de inteligência russos adotaram uma nova tática contra usuários do Signal ao tentar roubar chaves de recuperação de backup em vez de códigos de verificação, dando-lhes acesso ao histórico de mensagens criptografadas das vítimas.
Ele updated public service announcement expande um aviso divulgado em março, que alertava que os serviços de inteligência russos estavam mirando usuários de aplicativos de mensagens seguras por meio de campanhas de phishing. Segundo o FBI, os atacantes agora mudaram seu foco para as Chaves de Recuperação de Backup do Signal, permitindo restaurar backups de mensagens e acessar conversas históricas sem quebrar a criptografia de ponta a ponta do Signal.
A campanha é atribuída aos Serviços de Inteligência Russos (RIS), incluindo operadores associados ao Serviço Federal de Segurança (FSB) e outros grupos ligados à inteligência militar. A atividade é publicamente acompanhada como UNC5792 e UNC4221. Os principais alvos incluem funcionários governamentais atuais e antigos, militares, jornalistas, figuras políticas e funcionários ligados à Ucrânia.
Diferente de tentativas anteriores de phishing que buscavam códigos de verificação únicos ou PINs de conta, as mensagens mais recentes incentivam as vítimas a ativarem backups do Signal e então compartilharem sua Chave de Recuperação de Backup sob o pretexto de uma atualização obrigatória de segurança ou procedimento de recuperação de dados.
Se uma vítima fornecer a chave de recuperação, os atacantes podem restaurar os backups criptografados da conta, ler tanto conversas privadas quanto em grupo, e potencialmente manter acesso a backups futuros. Segundo o FBI, esse acesso pode persistir mesmo se a vítima trocar de dispositivo ou criar uma nova conta Signal usando o mesmo número de telefone, a menos que uma nova chave de recuperação seja gerada.
As agências enfatizaram que os ataques não exploram vulnerabilidades no próprio Signal. Em vez disso, eles dependem totalmente da engenharia social, convencendo os usuários a entregar credenciais sensíveis de contas por meio de mensagens de phishing convincentes que se passam pelo suporte da Signal.
Pesquisadores dizem que as mensagens de phishing afirmam falsamente que a Signal está implementando a autenticação obrigatória de dois fatores após o aumento dos ataques de hackers estrangeiros. Outros alertam que as mensagens correm risco de serem perdidas a menos que os usuários completem um processo urgente de recuperação, direcionando-os a revelar sua chave de recuperação de backup.
O FBI aconselha os usuários a nunca compartilharem sua Chave de Recuperação de Backup, código de verificação ou PIN com ninguém, mesmo que a solicitação pareça vir do Signal. Os usuários também devem revisar regularmente os dispositivos vinculados ao app, remover quaisquer conexões desconhecidas e gerar uma nova Chave de Recuperação de Backup caso suspeitem que ela possa ter sido exposta.