FBI và CISA đã cảnh báo rằng Tin tặc tình báo Nga hiện đang nhắm mục tiêu các khóa khôi phục sao lưu của người dùng Signal, sự leo thang của một chiến dịch lừa đảo đã xâm phạm hàng nghìn tài khoản trên toàn thế giới. Lời khuyên cập nhật, được công bố hôm thứ Năm, nói rằng việc bàn giao khóa một lần sẽ mang lại cho kẻ tấn công khả năng khôi phục bản sao lưu của tài khoản, đọc toàn bộ lịch sử tin nhắn riêng tư và nhóm của tài khoản đó cũng như chiếm đoạt tài khoản.
Chìa khóa vẫn hoạt động ngay cả sau khi nạn nhân đổi điện thoại. Lời khuyên cảnh báo: Nếu mục tiêu tạo một tài khoản mới trên cùng một số điện thoại, khóa khôi phục cũ vẫn có thể được sử dụng để truy cập các bản sao lưu trong tương lai. Cách khắc phục duy nhất là tạo khóa mới trong cài đặt của Signal, khóa này sẽ vô hiệu hóa khóa cũ để tải xuống trong tương lai nhưng không thể khôi phục bất kỳ thứ gì mà kẻ tấn công đã lấy được.
Lời khuyên, được chỉ định là PSA I-062626-PSA, bổ sung thêm hai tên theo dõi công khai mà thông báo tháng 3 của FBI không bao gồm: UNC5792 và UNC4221. Cục liên kết hoạt động này với nhiều nhóm Dịch vụ Tình báo Nga, bao gồm các sĩ quan FSB thuộc Lực lượng Biên phòng FSB và những người khác làm việc cho quân đội Nga. Chiến dịch nhắm mục tiêu đến cả Signal và WhatsApp, mặc dù chiến thuật khóa khôi phục dành riêng cho Signal.
💜 của công nghệ EU
Những tin đồn mới nhất từ bối cảnh công nghệ EU, câu chuyện từ người sáng lập thông thái Boris của chúng tôi và một số tác phẩm nghệ thuật AI đáng nghi vấn. Nó miễn phí hàng tuần trong hộp thư đến của bạn. Đăng ký ngay bây giờ!
Các mục tiêu là những cá nhân mà FBI mô tả là thuộc “giá trị trí tuệ cao,” bao gồm các quan chức chính phủ hiện tại và trước đây của Hoa Kỳ và quốc tế, quân nhân, nhân vật chính trị, nhà báo và quan chức ở Ukraine. Khuyến cáo tháng 3 cho biết chiến dịch rộng lớn hơn đã xâm phạm hàng nghìn tài khoản trên toàn thế giới.
Các tin nhắn lừa đảo được coi là hỗ trợ của Signal. Các đợt trước đó đã yêu cầu mã xác minh qua SMS và mã PIN tài khoản hoặc được sử dụng đã được chỉnh sửa “mời nhóm” liên kết âm thầm liên kết thiết bị của kẻ tấn công với tài khoản của nạn nhân. Phiên bản cập nhật sẽ hướng dẫn mục tiêu bật sao lưu Signal, mở màn hình khóa khôi phục và dán khóa vào cuộc trò chuyện.
FBI đã công bố hai tin nhắn mẫu được sử dụng trong chiến dịch. Một cái được ngụy trang dưới dạng triển khai xác thực hai yếu tố bắt buộc và cái còn lại được đặt dưới dạng “khẩn cấp”.phục hồi dữ liệu” sửa lỗi cho các tin nhắn được cho là có nguy cơ bị mất. Cả hai đều là các cuộc tấn công kỹ thuật xã hội nhằm khai thác niềm tin vào giao diện của chính nền tảng thay vì các lỗ hổng kỹ thuật.
Các cơ quan đều khẳng định rõ ràng rằng không có kỹ thuật nào trong số này phá vỡ được mã hóa của Signal hoặc chính ứng dụng. Những kẻ tấn công xâm phạm các tài khoản cá nhân thông qua kỹ thuật xã hội, sau đó xâm nhập thông qua một tính năng hợp pháp. Đó là một mô hình ngày càng trở nên phổ biến trên các sản phẩm bảo mật, trong đó liên kết yếu nhất là người cầm thiết bị chứ không phải mật mã bảo vệ dữ liệu.
Bên cạnh lời khuyên, chương trình Phần thưởng cho Công lý của Bộ Ngoại giao đang cung cấp tới 10 triệu USD cho thông tin về UNC5792. Hoạt động này trùng lặp với các cảnh báo trước đó từ các cơ quan tình báo Hà Lan AIVD và MIVD, BfV và BSI của Đức và ANSSI của Pháp. Nhóm Tình báo Đe dọa của Google lần đầu tiên ghi nhận UNC5792 lạm dụng tính năng thiết bị được liên kết của Signal vào đầu năm 2025 và sau đó quan sát thấy hành vi tương tự nhắm vào WhatsApp và Telegram.
Chiến dịch này là một lời nhắc nhở rằng mã hóa đầu cuối bảo vệ các tin nhắn đang được chuyển đi nhưng không thể bảo vệ những người dùng bị thuyết phục tự giao chìa khóa. Bất kỳ ai nhận được tin nhắn bên trong Signal yêu cầu khóa khôi phục, mã xác minh hoặc mã PIN sẽ coi tin nhắn đó là thù địch, bất kể người gửi tỏ ra thuyết phục đến mức nào. Signal không nhắn tin cho người dùng trong ứng dụng để yêu cầu thông tin xác thực.
Nguồn The Next Web