ФБР і CISA оновили березневе попередження про фішингову кампанію російської розвідки, спрямовану проти користувачів Signal. Згідно з оновленим бюлетенем PSA I-062626-PSA, оператори додали нову тактику: замість одноразових кодів верифікації вони тепер виманюють у жертв Backup Recovery Key — ключ відновлення резервної копії Signal. Отримавши цей ключ, зловмисник може відновити всю резервну копію облікового запису, прочитати історію особистих і групових повідомлень, а також перехопити контроль над акаунтом. Кампанія націлена на чинних і колишніх державних посадовців, військовослужбовців, політиків, журналістів і посадових осіб України. Ключовий захисний захід — негайна генерація нового ключа відновлення в налаштуваннях Signal.
Еволюція тактики: від кодів верифікації до ключів шифрування
Березневий бюлетень PSA260320 описував попередні хвилі атак, у межах яких оператори запитували в жертв SMS-коди верифікації та PIN-коди облікових записів, а також використовували підроблені посилання на «групові запрошення», що дозволяли непомітно прив’язати пристрій зловмисника до акаунта жертви. Оновлена версія кампанії принципово відрізняється за масштабом наслідків.
Тепер фішингове повідомлення, замасковане під сповіщення від служби підтримки Signal, крок за кроком проводить жертву через процес: увімкнення резервного копіювання, відкриття ключа відновлення й вставлення його в чат. У бюлетені наведено два зразки приманок — одна оформлена як обов’язкове оновлення двофакторної автентифікації, інша як термінове «відновлення даних» для повідомлень, які нібито перебувають під загрозою втрати.
Критично важлива деталь: ключ відновлення залишається чинним навіть після створення нового акаунта на тому самому номері телефону. Це означає, що одноразова компрометація ключа дає зловмиснику постійний доступ до майбутніх резервних копій доти, доки жертва не згенерує новий ключ. Тактика викрадення ключів відновлення, згідно з бюлетенем, специфічна для Signal, хоча загалом кампанія також зачіпає WhatsApp і Telegram.
Агентства підкреслюють: жодна з описаних атак не зламує шифрування Signal і не експлуатує вразливості застосунку. Компрометація відбувається виключно через соціальну інженерію та зловживання легітимними функціями месенджера.
Атрибуція та масштаб кампанії
Оновлений бюлетень уперше публічно називає дві групи, що стоять за кампанією: UNC5792 і UNC4221. За даними ФБР, активність пов’язана з кількома підрозділами російських спецслужб, включно з офіцерами ФСБ, прикомандированими до Прикордонної служби ФСБ, а також структурами, що працюють на російські військові відомства. Варто зазначити, що ця атрибуція ґрунтується на даних єдиного урядового бюлетеня і не була незалежно підтверджена іншими дослідниками.
Група Google Threat Intelligence Group задокументувала зловживання UNC5792 функцією прив’язки пристроїв Signal на початку 2025 року і зафіксувала застосування схожих методів проти WhatsApp і Telegram. Березневий бюлетень повідомляв, що на той момент кампанія вже скомпрометувала тисячі акаунтів по всьому світу.
Паралельно Державний департамент США через програму Rewards for Justice оголосив винагороду до 10 мільйонів доларів за інформацію про групу UNC5792 — що свідчить про серйозність, з якою уряд США оцінює цю загрозу.
Хто під ударом
Цільова аудиторія кампанії — особи, що становлять високу розвідувальну цінність:
- Чинні та колишні державні посадовці США та інших країн
- Військовослужбовці
- Політичні діячі
- Журналісти
- Посадові особи України
Однак сам механізм атаки — фішинг через месенджер — не потребує складної інфраструктури й може бути масштабований на будь-яку категорію користувачів Signal. Тисячі вже скомпрометованих акаунтів підтверджують, що охоплення кампанії виходить далеко за межі початкових пріоритетних цілей.
Рекомендації із захисту
- Будь-яке повідомлення в Signal від «служби підтримки» слід вважати ворожим. Справжня підтримка Signal не надсилає повідомлення всередині застосунку й не запитує коди, PIN-коди чи ключі відновлення.
- Ніколи не вставляйте Backup Recovery Key, код верифікації або PIN у чат. Жоден легітимний процес не вимагає передавати ці дані таким способом.
- Перевірте прив’язані пристрої: відкрийте Налаштування → Прив’язані пристрої та видаліть усе, чого ви не впізнаєте.
- Якщо ви передали ключ відновлення — негайно згенеруйте новий у налаштуваннях Signal. Старий ключ буде анульовано для майбутніх завантажень резервних копій, але все, що зловмисник уже завантажив, слід вважати скомпрометованим.
- Повідомте контакти: якщо акаунт було скомпрометовано, попередьте співрозмовників — зловмисник міг надсилати повідомлення від вашого імені.
Перехід від викрадення одноразових кодів до отримання ключа, що відкриває весь архів листування, — це якісна ескалація. Одноразовий код дає доступ до сеансу, ключ відновлення — до всієї історії повідомлень, причому доступ зберігається до примусової ротації ключа. Єдина дія, яка гарантовано припиняє доступ зловмисника до майбутніх резервних копій, — генерація нового Backup Recovery Key у налаштуваннях Signal. Якщо ви належите до будь-якої з перелічених цільових категорій, зробіть це зараз, не чекаючи ознак компрометації.