ФБР сообщает, что российские шпионы теперь обманывают пользователей Signal, заставляя их передавать свои резервные ключи восстановления.

      TL;DRФБР предупреждает, что российские хакеры фишингом пытаются получить ключи восстановления резервных копий пользователей Signal, обеспечивая постоянный доступ к истории сообщений.

      ФБР и CISA предупредили, что российские хакеры разведки теперь нацелены на ключи восстановления резервных копий пользователей Signal, что является эскалацией фишинговой кампании, которая уже скомпрометировала тысячи аккаунтов по всему миру. Обновленное уведомление, опубликованное в четверг, говорит о том, что передача ключа один раз дает злоумышленникам возможность восстановить резервную копию аккаунта, прочитать всю его частную и групповую историю сообщений и захватить аккаунт.

      Ключ продолжает работать даже после того, как жертва меняет телефон. Если цель создает новый аккаунт на том же номере телефона, старый ключ восстановления все еще может быть использован для доступа к будущим резервным копиям, предупреждает уведомление. Единственное решение — сгенерировать новый ключ в настройках Signal, что делает старый недействительным для будущих загрузок, но не может восстановить ничего из того, что злоумышленник уже извлек.

      Уведомление, обозначенное как PSA I-062626-PSA, добавляет два публичных трековых имени, которые не были включены в мартовское уведомление ФБР: UNC5792 и UNC4221. Бюро связывает эту активность с несколькими группами российских разведывательных служб, включая сотрудников ФСБ, встроенных в пограничные войска ФСБ, и других, работающих на российскую армию. Кампания нацелена как на Signal, так и на WhatsApp, хотя тактика с ключом восстановления специфична для Signal.

      💜 технологий ЕСПоследние новости из технологической сцены ЕС, история от нашего мудрого основателя Бориса и немного сомнительного ИИ-арта. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас!Целями являются лица, которых ФБР описывает как имеющих «высокую интеллектуальную ценность», включая действующих и бывших должностных лиц правительства США и международных организаций, военнослужащих, политических деятелей, журналистов и чиновников в Украине. Мартовское уведомление сообщало, что более широкая кампания уже скомпрометировала тысячи аккаунтов по всему миру.

      Фишинговые сообщения выдают себя за поддержку Signal. Ранее волны запрашивали SMS-коды подтверждения и PIN-коды аккаунтов или использовали поддельные ссылки «приглашения в группу», которые беззвучно связывали устройство злоумышленника с аккаунтом жертвы. Обновленная версия проводит цели через включение резервных копий Signal, открытие экрана ключа восстановления и вставку ключа в чат.

      ФБР опубликовало два примера сообщений, использованных в кампании. Одно замаскировано под обязательное внедрение двухфакторной аутентификации, а другое выдает себя за срочное «восстановление данных» для сообщений, которые якобы находятся под угрозой потери. Оба являются атаками социальной инженерии, которые эксплуатируют доверие к собственному интерфейсу платформы, а не техническим уязвимостям.

      Агентства ясно дают понять, что ни одна из этих техник не нарушает шифрование Signal или само приложение. Злоумышленники компрометируют отдельные аккаунты через социальную инженерию, а затем входят через легитимную функцию. Это шаблон, который становится все более распространенным в продуктах безопасности, где самой слабой ссылкой является человек, держащий устройство, а не криптография, защищающая данные.

      Вместе с уведомлением программа Государственного департамента «Вознаграждения за справедливость» предлагает до 10 миллионов долларов за информацию о UNC5792. Эта активность пересекается с ранее сделанными предупреждениями голландских разведывательных агентств AIVD и MIVD, немецких BfV и BSI, а также французского ANSSI. Группа угроз Google впервые задокументировала, как UNC5792 злоупотребляет функцией связанных устройств Signal в начале 2025 года, а затем наблюдала за тем же методом, нацеленным на WhatsApp и Telegram.

      Кампания напоминает о том, что сквозное шифрование защищает сообщения в пути, но не может защитить пользователей, которых убеждают передать ключи самостоятельно. Любой, кто получает сообщение внутри Signal с просьбой о ключе восстановления, коде подтверждения или PIN-коде, должен рассматривать его как враждебное, независимо от того, насколько убедительно выглядит отправитель. Signal не отправляет сообщения пользователям внутри приложения с просьбой о предоставлении учетных данных.