Mastodon Mastodon Mastodon Mastodon

ФБР и CISA предупреждают: российская разведка охотится за ключами восстановления Signal

Фото автора

CyberSecureFox Editorial Team

Опубликовано:

ФБР и CISA обновили мартовское предупреждение о фишинговой кампании российской разведки, направленной против пользователей Signal. Согласно обновлённому бюллетеню PSA I-062626-PSA, операторы добавили новую тактику: вместо одноразовых кодов верификации они теперь выманивают у жертв Backup Recovery Key — ключ восстановления резервной копии Signal. Получив этот ключ, атакующий может восстановить всю резервную копию аккаунта, прочитать историю личных и групповых сообщений, а также перехватить контроль над учётной записью. Кампания нацелена на действующих и бывших государственных чиновников, военнослужащих, политиков, журналистов и должностных лиц Украины. Ключевая мера защиты — немедленная генерация нового ключа восстановления в настройках Signal.

Эволюция тактики: от кодов верификации к ключам шифрования

Мартовский бюллетень PSA260320 описывал более ранние волны атак, в которых операторы запрашивали у жертв SMS-коды верификации и PIN-коды аккаунтов, а также использовали поддельные ссылки на «групповые приглашения», позволявшие незаметно привязать устройство атакующего к аккаунту жертвы. Обновлённая версия кампании принципиально отличается по масштабу последствий.

Теперь фишинговое сообщение, замаскированное под уведомление от службы поддержки Signal, пошагово проводит жертву через процесс: включение резервного копирования, открытие ключа восстановления и вставку его в чат. Бюллетень приводит два образца приманок — одна оформлена как обязательное обновление двухфакторной аутентификации, другая как срочное «восстановление данных» для сообщений, якобы находящихся под угрозой потери.

Критически важная деталь: ключ восстановления остаётся действительным даже после создания нового аккаунта на том же номере телефона. Это означает, что однократная компрометация ключа даёт атакующему постоянный доступ к будущим резервным копиям до тех пор, пока жертва не сгенерирует новый ключ. Тактика кражи ключей восстановления, согласно бюллетеню, специфична для Signal, хотя кампания в целом затрагивает также WhatsApp и Telegram.

Агентства подчёркивают: ни одна из описанных атак не взламывает шифрование Signal и не эксплуатирует уязвимости приложения. Компрометация происходит исключительно через социальную инженерию и злоупотребление легитимными функциями мессенджера.

Атрибуция и масштаб кампании

Обновлённый бюллетень впервые публично называет две группы, стоящие за кампанией: UNC5792 и UNC4221. По данным ФБР, активность связана с несколькими подразделениями российских спецслужб, включая офицеров ФСБ, прикомандированных к Пограничной службе ФСБ, а также структуры, работающие на российские военные ведомства. Следует отметить, что эта атрибуция основана на данных единственного правительственного бюллетеня и не была независимо подтверждена другими исследователями.

Группа Google Threat Intelligence Group задокументировала злоупотребление UNC5792 функцией привязки устройств Signal в начале 2025 года и зафиксировала применение аналогичных методов против WhatsApp и Telegram. Мартовский бюллетень сообщал, что к тому моменту кампания уже скомпрометировала тысячи аккаунтов по всему миру.

Параллельно Государственный департамент США через программу Rewards for Justice объявил вознаграждение до 10 миллионов долларов за информацию о группе UNC5792 — что свидетельствует о серьёзности, с которой правительство США оценивает эту угрозу.

Кто под ударом

Целевая аудитория кампании — лица, представляющие высокую разведывательную ценность:

  • Действующие и бывшие государственные чиновники США и других стран
  • Военнослужащие
  • Политические деятели
  • Журналисты
  • Должностные лица Украины

Однако сам механизм атаки — фишинг через мессенджер — не требует сложной инфраструктуры и может быть масштабирован на любую категорию пользователей Signal. Тысячи уже скомпрометированных аккаунтов подтверждают, что охват кампании выходит далеко за рамки первоначальных приоритетных целей.

Рекомендации по защите

  • Любое сообщение внутри Signal от «службы поддержки» следует считать враждебным. Настоящая поддержка Signal не отправляет сообщения внутри приложения и не запрашивает коды, PIN-коды или ключи восстановления.
  • Никогда не вставляйте Backup Recovery Key, код верификации или PIN в чат. Ни один легитимный процесс не требует передачи этих данных таким способом.
  • Проверьте привязанные устройства: откройте Настройки → Привязанные устройства и удалите всё, что не узнаёте.
  • Если вы передали ключ восстановления — немедленно сгенерируйте новый в настройках Signal. Старый ключ будет аннулирован для будущих загрузок резервных копий, но всё, что атакующий уже скачал, следует считать скомпрометированным.
  • Уведомите контакты: если аккаунт был скомпрометирован, предупредите собеседников — атакующий мог отправлять сообщения от вашего имени.

Переход от кражи одноразовых кодов к получению ключа, открывающего весь архив переписки, — качественная эскалация. Одноразовый код даёт доступ к сессии, ключ восстановления — ко всей истории сообщений, причём доступ сохраняется до принудительной ротации ключа. Единственное действие, которое гарантированно прекращает доступ атакующего к будущим резервным копиям, — генерация нового Backup Recovery Key в настройках Signal. Если вы входите в любую из перечисленных целевых категорий, сделайте это сейчас, не дожидаясь признаков компрометации.


CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.