FBI ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Rus istihbarat hackerlarının Signal kullanıcılarına karşı yeni bir taktik benimsediklerini, doğrulama kodları yerine yedek kurtarma anahtarlarını çalmaya çalışarak kurbanların şifreli mesaj geçmişine erişim sağladıklarını uyardı.
Mart updated public service announcement ayında yayımlanan ve Rus istihbarat servislerinin güvenli mesajlaşma uygulamaları kullanıcılarını oltalama kampanyaları aracılığıyla hedef aldığı uyarısında bulunan bir uyarıyı genişletiyor. FBI’a göre, saldırganlar artık odaklarını Signal Backup Recovery Keys’e kaydırdılar; böylece mesaj yedeklemelerini geri yüklemeye ve geçmiş konuşmalara erişmelerini sağlıyorlar, Signal’ın uçtan uca şifrelemesini bozmadan.
Kampanya, Federal Güvenlik Servisi (FSB) ve diğer askeri istihbarat bağlantılı gruplar ile bağlantılı operatörler de dahil olmak üzere Rus İstihbarat Servisleri’ne (RIS) atfediliyor. Etkinlik kamuoyuna UNC5792 ve UNC4221 olarak takip ediliyor. Ana hedefler arasında mevcut ve eski hükümet yetkilileri, askeri personel, gazeteciler, siyasi figürler ve Ukrayna ile bağlantılı yetkililer yer alıyor.
Önceki oltalama girişimlerinin tek seferlik doğrulama kodları veya hesap PIN’leri aramasının aksine, son mesajlar mağdurları Signal yedeklemelerini etkinleştirmeye ve ardından zorunlu güvenlik güncellemesi veya veri kurtarma prosedürü bahanesinde Yedekleme Kurtarma Anahtarlarını paylaşmaya teşvik ediyor.
Bir mağdur kurtarma anahtarını sağlarsa, saldırganlar hesabın şifreli yedeklemelerini geri kazanabilir, hem özel hem de grup konuşmalarını okuyabilir ve gelecekteki yedeklere erişimi sürdürebilir. FBI’a göre, bu erişim, mağdur cihaz değiştirse veya aynı telefon numarasıyla yeni bir Signal hesabı oluştursa bile, yeni bir kurtarma anahtarı oluşturulmadıkça devam edebilir.
Ajanslar, saldırıların Signal’daki zafiyetleri sömürmediğini vurguladı. Bunun yerine, tamamen sosyal mühendisliğe dayanıyorlar; kullanıcıları hassas hesap kimlik bilgilerini Signal desteğini taklit eden ikna edici oltalama mesajlarıyla teslim etmeye ikna ediyorlar.
Araştırmacılar, oltalama mesajlarının yanlış bir şekilde Signal’ın yabancı hackerların artan saldırılarının ardından zorunlu iki faktörlü kimlik doğrulama uygulamaya koyduğunu iddia ettiğini söylüyor. Diğerleri ise, kullanıcıların acil bir kurtarma sürecini tamamlamadığı sürece mesajların kaybolma riski altında olduğunu ve yedek kurtarma anahtarlarını göstermeleri gerektiğini belirtiyor.
FBI, kullanıcıların Backup Recovery Anahtarı, doğrulama kodları veya PIN’lerini kimseyle paylaşmamalarını tavsiye eder, isteği Signal’dan gelmiş gibi görünse bile. Kullanıcılar ayrıca uygulamanın bağlı cihazlarını düzenli olarak gözden geçirmeli, yabancı bağlantıları kaldırmalı ve eğer açıkta olabileceğinden şüphelenirlerse yeni bir Yedek Kurtarma Anahtarı oluşturmalıdır.