FBI und CISA haben ihre Warnung vom März zu einer Phishing-Kampagne des russischen Geheimdienstes gegen Nutzer von Signal aktualisiert. Laut dem aktualisierten Bulletin PSA I-062626-PSA haben die Betreiber eine neue Taktik hinzugefügt: Anstatt Einmal-Verifizierungscodes zu stehlen, locken sie ihren Opfern nun den Backup Recovery Key – den Schlüssel zur Wiederherstellung des Signal-Backups – ab. Mit diesem Schlüssel kann der Angreifer das komplette Backup des Accounts wiederherstellen, die Historie privater und Gruppen-Chats lesen und außerdem die Kontrolle über das Konto übernehmen. Die Kampagne zielt auf aktuelle und ehemalige Regierungsbeamte, Militärangehörige, Politiker, Journalisten und ukrainische Amtsträger ab. Die zentrale Schutzmaßnahme ist die sofortige Generierung eines neuen Wiederherstellungsschlüssels in den Signal-Einstellungen.
Weiterentwicklung der Taktik: von Verifizierungscodes zu Verschlüsselungsschlüsseln
Das März-Bulletin PSA260320 beschrieb frühere Angriffswellen, in denen die Betreiber per Phishing SMS-Verifizierungscodes und Account-PINs anforderten und zudem gefälschte Links zu „Gruppeneinladungen“ nutzten, über die sich heimlich ein Gerät des Angreifers mit dem Account des Opfers verknüpfen ließ. Die aktualisierte Version der Kampagne unterscheidet sich grundlegend im Ausmaß der möglichen Folgen.
Die Phishing-Nachricht, die als Benachrichtigung des Signal-Supports getarnt ist, führt das Opfer nun Schritt für Schritt durch den Prozess: Aktivierung des Backups, Öffnen des Wiederherstellungsschlüssels und Einfügen dieses Schlüssels in den Chat. Das Bulletin führt zwei Beispiele für solche Ködernachrichten an – eines gestaltet als verpflichtende Aktualisierung der Zwei-Faktor-Authentifizierung, das andere als dringende „Datenwiederherstellung“ für Nachrichten, die angeblich vom Verlust bedroht sind.
Ein kritisches Detail: Der Wiederherstellungsschlüssel bleibt gültig, selbst wenn ein neuer Account mit derselben Telefonnummer erstellt wird. Das bedeutet, dass eine einmalige Kompromittierung des Schlüssels dem Angreifer dauerhaften Zugriff auf zukünftige Backups verschafft, bis das Opfer einen neuen Schlüssel generiert. Die Taktik des Diebstahls von Wiederherstellungsschlüsseln ist laut Bulletin spezifisch für Signal, auch wenn die Kampagne insgesamt ebenfalls WhatsApp und Telegram betrifft.
Die Behörden betonen: Keiner der beschriebenen Angriffe bricht die Signal-Verschlüsselung oder nutzt Schwachstellen in der App aus. Die Kompromittierung erfolgt ausschließlich durch Social Engineering und den Missbrauch legitimer Messenger-Funktionen.
Attribution und Umfang der Kampagne
Das aktualisierte Bulletin nennt erstmals öffentlich zwei Gruppen, die hinter der Kampagne stehen: UNC5792 und UNC4221. Nach Angaben des FBI ist die Aktivität mit mehreren Einheiten der russischen Geheimdienste verbunden, darunter FSB-Offiziere, die dem Grenzschutzdienst des FSB zugeordnet sind, sowie Strukturen, die für russische Militärbehörden arbeiten. Es ist zu beachten, dass diese Attribution auf den Erkenntnissen eines einzigen Regierungs-Bulletins beruht und bislang nicht unabhängig von anderen Forschern bestätigt wurde.
Die Gruppe Google Threat Intelligence Group hat dokumentiert, wie UNC5792 Anfang 2025 die Funktion zur Geräteverknüpfung in Signal missbrauchte, und stellte den Einsatz ähnlicher Methoden gegen WhatsApp und Telegram fest. Das März-Bulletin berichtete, dass die Kampagne zu diesem Zeitpunkt bereits tausende Accounts weltweit kompromittiert hatte.
Parallel dazu hat das US-Außenministerium im Rahmen des Programms Rewards for Justice eine Belohnung von bis zu 10 Millionen US‑Dollar für Informationen über die Gruppe UNC5792 ausgesetzt – ein Hinweis darauf, wie ernst die US-Regierung diese Bedrohung einschätzt.
Wer im Visier steht
Die Zielgruppe der Kampagne sind Personen mit hoher nachrichtendienstlicher Relevanz:
- Aktuelle und ehemalige Regierungsbeamte der USA und anderer Staaten
- Militärangehörige
- Politische Entscheidungsträger
- Journalisten
- Ukrainische Amtsträger
Der eigentliche Angriffsmechanismus – Phishing über den Messenger – erfordert jedoch keine komplexe Infrastruktur und lässt sich auf jede Nutzergruppe von Signal skalieren. Die tausenden bereits kompromittierten Accounts belegen, dass die Reichweite der Kampagne weit über die ursprünglich priorisierten Ziele hinausgeht.
Empfehlungen zum Schutz
- Jede Nachricht innerhalb von Signal, die angeblich vom „Support“ stammt, sollte als feindlich betrachtet werden. Der echte Signal-Support verschickt keine Nachrichten innerhalb der App und fordert keine Codes, PINs oder Wiederherstellungsschlüssel an.
- Geben Sie niemals einen Backup Recovery Key, Verifizierungscode oder PIN in einem Chat ein. Kein legitimer Prozess erfordert die Weitergabe dieser Daten auf diesem Weg.
- Überprüfen Sie verknüpfte Geräte: Öffnen Sie Einstellungen → Verknüpfte Geräte und entfernen Sie alles, was Sie nicht wiedererkennen.
- Wenn Sie einen Wiederherstellungsschlüssel weitergegeben haben, generieren Sie umgehend einen neuen in den Signal-Einstellungen. Der alte Schlüssel wird für zukünftige Backups ungültig, aber alles, was der Angreifer bereits heruntergeladen hat, muss als kompromittiert gelten.
- Benachrichtigen Sie Ihre Kontakte: Wenn Ihr Account kompromittiert wurde, warnen Sie Ihre Gesprächspartner – der Angreifer könnte in Ihrem Namen Nachrichten versendet haben.
Der Übergang vom Diebstahl von Einmal-Codes hin zur Erlangung eines Schlüssels, der das gesamte Nachrichtenarchiv öffnet, stellt eine qualitative Eskalation dar. Ein Einmal-Code gewährt Zugriff auf eine Sitzung, ein Wiederherstellungsschlüssel auf die gesamte Nachrichtenhistorie – und dieser Zugriff bleibt bestehen, bis der Schlüssel aktiv rotiert wird. Die einzige Maßnahme, die den Zugriff des Angreifers auf künftige Backups garantiert beendet, ist die Generierung eines neuen Backup Recovery Key in den Signal-Einstellungen. Wenn Sie zu einer der genannten Zielgruppen gehören, sollten Sie dies jetzt tun, ohne auf Anzeichen einer Kompromittierung zu warten.