FBI og Cybersecurity and Infrastructure Security Agency (CISA) advarer om at russisk-støttede hackere har utviklet en ny phishing-metode som retter seg mot Signals gjenopprettingsnøkkel for sikkerhetskopier. I stedet for å forsøke å bryte Signals ende-til-ende-kryptering, lurer angriperne ofrene til å avsløre gjenopprettingsnøkkelen som beskytter krypterte sikkerhetskopier i skyen.

Den oppdaterte advarselen bygger videre på en melding som myndighetene publiserte tidligere i år, og viser at kampanjen har gått fra kontokapring til å stjele Signals gjenopprettingsnøkkel for sikkerhetskopier.

Angriperne går nå etter Signals gjenopprettingsnøkkel

Ifølge FBI fortsetter russiske etterretningstjenester å utgi seg for å være representanter fra Signals kundestøtte i phishing-kampanjer rettet mot personer med tilgang til sensitiv informasjon.

Angriperne overtaler først ofrene til å aktivere Signal Secure Backups og opprette en gjenopprettingsnøkkel ved å hevde at meldingstjenesten har innført obligatoriske sikkerhetsendringer.

Phishing-meldingene advarer feilaktig om økte angrep fra hackere i Iran og andre postsovjetiske land. Deretter leder de brukerne gjennom oppsettet av sikkerhetskopiering, slik at instruksjonene fremstår som en legitim sikkerhetsoppdatering.

Falske støttemeldinger ber om gjenopprettingsnøkkelen

Etter at ofrene har aktivert krypterte sikkerhetskopier, sender angriperne en ny phishing-melding. Denne hevder at et synkroniseringsproblem kan føre til at lagrede samtaler blir permanent slettet.

Den falske støttemeldingen ber brukerne åpne innstillingene for sikkerhetskopiering, kopiere Signals gjenopprettingsnøkkel og lime den inn i chatten for å unngå tap av data.

Gjenopprettingsnøkkelen krypterer alle sikkerhetskopier i skyen som opprettes gjennom Signal Secure Backups. Alle som får tak i nøkkelen, kan gjenopprette sikkerhetskopiene på en annen enhet og lese lagrede samtaler, inkludert private chatter, gruppemeldinger, bilder og andre vedlegg.

Offentlige tjenestepersoner er hovedmålene

FBI opplyser at kampanjen først og fremst retter seg mot personer med tilgang til sensitiv informasjon.

Nåværende og tidligere offentlige tjenestepersoner, militært personell, journalister, politikere og personer med tilknytning til Ukraina er blant de viktigste målene.

Amerikanske myndigheter knytter aktiviteten til russiske etterretningstjenester, inkludert personell tilknyttet Russlands føderale sikkerhetstjenestes (FSB) grensestyrker og andre aktører som støtter det russiske militæret.

Sikkerhetsforskere sporer kampanjen under betegnelsene UNC5792 og UNC4221.

Det holder ikke å opprette en ny konto

FBI advarer om at det ikke er nok å opprette en ny Signal-konto med samme telefonnummer for å gjøre en stjålet gjenopprettingsnøkkel ugyldig.

Brukerne må i stedet opprette en ny gjenopprettingsnøkkel via Signals innstillinger for sikkerhetskopiering. Dette hindrer fremtidige gjenopprettinger med den gamle nøkkelen, men stopper ikke angripere fra å få tilgang til data de allerede har gjenopprettet før nøkkelen ble endret.

Slik beskytter du deg

FBI og CISA anbefaler at brukere behandler Signals gjenopprettingsnøkkel som annen svært sensitiv legitimasjon. Den bør aldri deles med noen, uansett hvem som ber om den.

Signals kundestøtte vil aldri be brukere om å oppgi gjenopprettingsnøkler, bekreftelseskoder, PIN-koder eller annen sensitiv informasjon via chatmeldinger eller uoppfordrede lenker.

Kampanjen viser hvordan angripere i økende grad satser på sosial manipulering fremfor tekniske angrep. I stedet for å forsøke å bryte Signals kryptering, manipulerer de brukerne til frivillig å avsløre den ene legitimasjonen som trengs for å gjenopprette krypterte sikkerhetskopier i skyen.


0 responses to “FBI advarer: Russiske hackere retter nå angrep mot Signals gjenopprettingsnøkler for sikkerhetskopier”