Mastodon Mastodon Mastodon Mastodon

Russische Phishing-Kampagne stiehlt Signal Backup Recovery Keys

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

FBI und CISA haben ihre Warnung vom März zu einer Phishing-Kampagne des russischen Geheimdienstes gegen Nutzer von Signal aktualisiert. Laut dem aktualisierten Bulletin PSA I-062626-PSA haben die Betreiber eine neue Taktik hinzugefügt: Anstatt Einmal-Verifizierungscodes zu stehlen, locken sie ihren Opfern nun den Backup Recovery Key – den Schlüssel zur Wiederherstellung des Signal-Backups – ab. Mit diesem Schlüssel kann der Angreifer das komplette Backup des Accounts wiederherstellen, die Historie privater und Gruppen-Chats lesen und außerdem die Kontrolle über das Konto übernehmen. Die Kampagne zielt auf aktuelle und ehemalige Regierungsbeamte, Militärangehörige, Politiker, Journalisten und ukrainische Amtsträger ab. Die zentrale Schutzmaßnahme ist die sofortige Generierung eines neuen Wiederherstellungsschlüssels in den Signal-Einstellungen.

Weiterentwicklung der Taktik: von Verifizierungscodes zu Verschlüsselungsschlüsseln

Das März-Bulletin PSA260320 beschrieb frühere Angriffswellen, in denen die Betreiber per Phishing SMS-Verifizierungscodes und Account-PINs anforderten und zudem gefälschte Links zu „Gruppeneinladungen“ nutzten, über die sich heimlich ein Gerät des Angreifers mit dem Account des Opfers verknüpfen ließ. Die aktualisierte Version der Kampagne unterscheidet sich grundlegend im Ausmaß der möglichen Folgen.

Die Phishing-Nachricht, die als Benachrichtigung des Signal-Supports getarnt ist, führt das Opfer nun Schritt für Schritt durch den Prozess: Aktivierung des Backups, Öffnen des Wiederherstellungsschlüssels und Einfügen dieses Schlüssels in den Chat. Das Bulletin führt zwei Beispiele für solche Ködernachrichten an – eines gestaltet als verpflichtende Aktualisierung der Zwei-Faktor-Authentifizierung, das andere als dringende „Datenwiederherstellung“ für Nachrichten, die angeblich vom Verlust bedroht sind.

Ein kritisches Detail: Der Wiederherstellungsschlüssel bleibt gültig, selbst wenn ein neuer Account mit derselben Telefonnummer erstellt wird. Das bedeutet, dass eine einmalige Kompromittierung des Schlüssels dem Angreifer dauerhaften Zugriff auf zukünftige Backups verschafft, bis das Opfer einen neuen Schlüssel generiert. Die Taktik des Diebstahls von Wiederherstellungsschlüsseln ist laut Bulletin spezifisch für Signal, auch wenn die Kampagne insgesamt ebenfalls WhatsApp und Telegram betrifft.

Die Behörden betonen: Keiner der beschriebenen Angriffe bricht die Signal-Verschlüsselung oder nutzt Schwachstellen in der App aus. Die Kompromittierung erfolgt ausschließlich durch Social Engineering und den Missbrauch legitimer Messenger-Funktionen.

Attribution und Umfang der Kampagne

Das aktualisierte Bulletin nennt erstmals öffentlich zwei Gruppen, die hinter der Kampagne stehen: UNC5792 und UNC4221. Nach Angaben des FBI ist die Aktivität mit mehreren Einheiten der russischen Geheimdienste verbunden, darunter FSB-Offiziere, die dem Grenzschutzdienst des FSB zugeordnet sind, sowie Strukturen, die für russische Militärbehörden arbeiten. Es ist zu beachten, dass diese Attribution auf den Erkenntnissen eines einzigen Regierungs-Bulletins beruht und bislang nicht unabhängig von anderen Forschern bestätigt wurde.

Die Gruppe Google Threat Intelligence Group hat dokumentiert, wie UNC5792 Anfang 2025 die Funktion zur Geräteverknüpfung in Signal missbrauchte, und stellte den Einsatz ähnlicher Methoden gegen WhatsApp und Telegram fest. Das März-Bulletin berichtete, dass die Kampagne zu diesem Zeitpunkt bereits tausende Accounts weltweit kompromittiert hatte.

Parallel dazu hat das US-Außenministerium im Rahmen des Programms Rewards for Justice eine Belohnung von bis zu 10 Millionen US‑Dollar für Informationen über die Gruppe UNC5792 ausgesetzt – ein Hinweis darauf, wie ernst die US-Regierung diese Bedrohung einschätzt.

Wer im Visier steht

Die Zielgruppe der Kampagne sind Personen mit hoher nachrichtendienstlicher Relevanz:

  • Aktuelle und ehemalige Regierungsbeamte der USA und anderer Staaten
  • Militärangehörige
  • Politische Entscheidungsträger
  • Journalisten
  • Ukrainische Amtsträger

Der eigentliche Angriffsmechanismus – Phishing über den Messenger – erfordert jedoch keine komplexe Infrastruktur und lässt sich auf jede Nutzergruppe von Signal skalieren. Die tausenden bereits kompromittierten Accounts belegen, dass die Reichweite der Kampagne weit über die ursprünglich priorisierten Ziele hinausgeht.

Empfehlungen zum Schutz

  • Jede Nachricht innerhalb von Signal, die angeblich vom „Support“ stammt, sollte als feindlich betrachtet werden. Der echte Signal-Support verschickt keine Nachrichten innerhalb der App und fordert keine Codes, PINs oder Wiederherstellungsschlüssel an.
  • Geben Sie niemals einen Backup Recovery Key, Verifizierungscode oder PIN in einem Chat ein. Kein legitimer Prozess erfordert die Weitergabe dieser Daten auf diesem Weg.
  • Überprüfen Sie verknüpfte Geräte: Öffnen Sie Einstellungen → Verknüpfte Geräte und entfernen Sie alles, was Sie nicht wiedererkennen.
  • Wenn Sie einen Wiederherstellungsschlüssel weitergegeben haben, generieren Sie umgehend einen neuen in den Signal-Einstellungen. Der alte Schlüssel wird für zukünftige Backups ungültig, aber alles, was der Angreifer bereits heruntergeladen hat, muss als kompromittiert gelten.
  • Benachrichtigen Sie Ihre Kontakte: Wenn Ihr Account kompromittiert wurde, warnen Sie Ihre Gesprächspartner – der Angreifer könnte in Ihrem Namen Nachrichten versendet haben.

Der Übergang vom Diebstahl von Einmal-Codes hin zur Erlangung eines Schlüssels, der das gesamte Nachrichtenarchiv öffnet, stellt eine qualitative Eskalation dar. Ein Einmal-Code gewährt Zugriff auf eine Sitzung, ein Wiederherstellungsschlüssel auf die gesamte Nachrichtenhistorie – und dieser Zugriff bleibt bestehen, bis der Schlüssel aktiv rotiert wird. Die einzige Maßnahme, die den Zugriff des Angreifers auf künftige Backups garantiert beendet, ist die Generierung eines neuen Backup Recovery Key in den Signal-Einstellungen. Wenn Sie zu einer der genannten Zielgruppen gehören, sollten Sie dies jetzt tun, ohne auf Anzeichen einer Kompromittierung zu warten.


CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.