Das FBI und die Cybersecurity and Infrastructure Security Agency (CISA) warnen, dass staatlich unterstützte russische Hacker eine neue Phishing-Methode entwickelt haben, die auf den Wiederherstellungsschlüssel für Signal-Backups abzielt. Anstatt die Ende-zu-Ende-Verschlüsselung von Signal zu knacken, bringen die Angreifer ihre Opfer dazu, den Wiederherstellungsschlüssel preiszugeben, der verschlüsselte Cloud-Backups schützt.

Die aktualisierte Warnung erweitert einen Hinweis, den die Behörden bereits Anfang des Jahres veröffentlicht hatten, und zeigt, dass sich die Kampagne von der Übernahme von Konten auf den Diebstahl des Signal-Wiederherstellungsschlüssels verlagert hat.

Angreifer zielen jetzt auf den Signal-Wiederherstellungsschlüssel ab

Nach Angaben des FBI geben sich russische Geheimdienste in Phishing-Kampagnen weiterhin als Mitarbeiter des Signal-Supports aus. Die Angriffe richten sich gegen Personen mit Zugang zu sensiblen Informationen.

Die Angreifer bringen ihre Opfer zunächst dazu, Signal Secure Backups zu aktivieren und einen Signal-Wiederherstellungsschlüssel zu erstellen. Dabei behaupten sie, der Messenger habe verpflichtende Sicherheitsänderungen eingeführt.

In den Phishing-Nachrichten wird fälschlicherweise vor verstärkten Angriffen durch Hacker aus dem Iran und anderen postsowjetischen Staaten gewarnt. Anschließend führen die Angreifer die Nutzer Schritt für Schritt durch die Einrichtung der Backups, sodass der Vorgang wie ein legitimes Sicherheitsupdate erscheint.

Gefälschte Support-Nachrichten verlangen den Wiederherstellungsschlüssel

Nachdem die Opfer verschlüsselte Backups aktiviert haben, senden die Angreifer eine weitere Phishing-Nachricht. Darin behaupten sie, ein Synchronisierungsproblem könne dazu führen, dass gespeicherte Unterhaltungen dauerhaft gelöscht werden.

Die gefälschte Support-Anfrage fordert die Nutzer auf, die Backup-Einstellungen zu öffnen, den Signal-Wiederherstellungsschlüssel zu kopieren und ihn im Chat einzufügen, um einen Datenverlust zu verhindern.

Der Wiederherstellungsschlüssel verschlüsselt sämtliche Cloud-Backups, die über Signal Secure Backups erstellt werden. Wer den Schlüssel besitzt, kann diese Backups auf einem anderen Gerät wiederherstellen und gespeicherte Unterhaltungen lesen – darunter private Chats, Gruppennachrichten, Bilder und andere Anhänge.

Regierungsvertreter bleiben die wichtigsten Ziele

Nach Angaben des FBI richtet sich die Kampagne vor allem gegen Personen mit Zugang zu sensiblen Informationen.

Zu den wichtigsten Zielen gehören aktuelle und ehemalige Regierungsmitarbeiter, Militärangehörige, Journalisten, Politiker sowie Personen mit Verbindungen zur Ukraine.

US-Behörden schreiben die Aktivitäten russischen Geheimdiensten zu, darunter Angehörigen der Grenztruppen des russischen Inlandsgeheimdienstes FSB sowie weiteren Akteuren, die das russische Militär unterstützen.

Sicherheitsforscher verfolgen die Kampagne unter den Bezeichnungen UNC5792 und UNC4221.

Ein neues Konto reicht nicht aus

Das FBI warnt, dass die Erstellung eines neuen Signal-Kontos mit derselben Telefonnummer einen gestohlenen Signal-Wiederherstellungsschlüssel nicht ungültig macht.

Stattdessen müssen Nutzer in den Backup-Einstellungen von Signal einen neuen Wiederherstellungsschlüssel erstellen. Dadurch werden künftige Wiederherstellungen mit dem alten Schlüssel verhindert. Bereits zuvor wiederhergestellte Daten bleiben für Angreifer jedoch weiterhin zugänglich.

So schützen Sie sich

FBI und CISA empfehlen, den Signal-Wiederherstellungsschlüssel wie jede andere hochsensible Zugangsinformation zu behandeln. Nutzer sollten ihn niemals weitergeben – unabhängig davon, wer danach fragt.

Der Signal-Support wird Nutzer niemals über Chat-Nachrichten oder unaufgefordert zugesandte Links nach Wiederherstellungsschlüsseln, Bestätigungscodes, PINs oder anderen sensiblen Informationen fragen.

Die Kampagne zeigt, dass Angreifer zunehmend auf Social Engineering statt auf technische Exploits setzen. Anstatt Signals Verschlüsselung zu überwinden, manipulieren sie ihre Opfer dazu, freiwillig genau den Zugangsschlüssel preiszugeben, der für die Wiederherstellung verschlüsselter Cloud-Backups erforderlich ist.


0 Kommentare zu „FBI warnt: Russische Hacker nehmen jetzt Signals Wiederherstellungsschlüssel für Backups ins Visier“