De FBI en de CISA hebben hun waarschuwing van maart over phishing-Signal-accounts van de Russische inlichtingendienst bijgewerkt, en de operators hebben een stap toegevoegd: ze lokken nu doelwitten ertoe hun Signal Backup Recovery Key te overhandigen.
Geef het één keer over en de aanvaller kan de back-up van het account herstellen, de geschiedenis van privé- en groepsberichten lezen en het account overnemen. Erger nog, de sleutel blijft werken. Maak een nieuw account aan op hetzelfde telefoonnummer en de oude sleutel kan er nog steeds tegen worden gebruikt, waarschuwt het advies.
De oplossing is bot: genereer een nieuwe sleutel in Instellingen, die de oude doodt voor toekomstige back-updownloads, en accepteer dat alles wat de aanvaller al heeft opgehaald, verdwenen is.
Het bijgewerkte advies, PSA I-062626-PSA, voegt twee openbare trackingnamen toe die in de kennisgeving van maart ontbraken: UNC5792 en UNC4221. De FBI koppelt de activiteit aan meerdere groepen van de Russische inlichtingendiensten (RIS), waaronder FSB-officieren die zijn ingebed bij de FSB-grenswachten en anderen die voor de Russische militaire diensten werken. De campagne treft Signal- en WhatsApp-accounts; de nieuwe herstelsleuteltactiek die in het advies wordt beschreven, is specifiek voor Signal.
De doelwitten zijn personen met een hoge inlichtingenwaarde: huidige en voormalige Amerikaanse en internationale regeringsfunctionarissen, militair personeel, politieke figuren, journalisten en functionarissen in Oekraïne. In het bericht van maart stond dat de bredere campagne al duizenden accounts wereldwijd had gecompromitteerd.
Het phishing-bericht doet zich voor als Signal-ondersteuning. Eerdere golven vroegen om sms-verificatiecodes en accountpincodes, of gebruikten vervalste koppelingen voor ‘groepsuitnodigingen’ die het apparaat van een aanvaller stilletjes aan het account koppelden.
De bijgewerkte versie leidt het doel door Signal-back-ups in te schakelen, de herstelsleutel te openen en deze in de chat te plakken. Het advies drukt twee voorbeeldberichten af: één verkleed als een verplichte uitrol met twee factoren, de andere als een dringende oplossing voor “gegevensherstel” voor berichten die zogenaamd het risico lopen verloren te gaan.
Net als in maart zijn de bureaus duidelijk dat geen van deze de codering van Signal of de app zelf verbreekt. De actoren compromitteren individuele accounts via social engineering en komen vervolgens binnen via een legitieme functie.
Naast de update biedt het Rewards for Justice-programma van het ministerie van Buitenlandse Zaken tot $ 10 miljoen aan voor informatie over UNC5792.
De activiteit overlapt met waarschuwingen van de Nederlandse inlichtingendiensten (AIVD en MIVD), de Duitse BfV en BSI, en de Franse ANSSI eerder dit jaar. De Threat Intelligence Group van Google documenteerde begin 2025 voor het eerst dat UNC5792 misbruik maakte van de gekoppelde apparaatfunctie van Signal, en zag hetzelfde ambacht opduiken tegen WhatsApp en Telegram.
Wat nu te doen
- Behandel elk in-app-bericht van ‘Signaalondersteuning’ als vijandig. Echte ondersteuning stuurt u geen bericht in de app om om codes, pincodes of uw herstelsleutel te vragen.
- Plak nooit uw back-upherstelsleutel, verificatiecode of pincode in een chat. Niets legitiems vraagt op die manier om hen.
- Open Instellingen, vink Gekoppelde apparaten aan en verwijder alles wat u niet herkent.
- Als u denkt dat u uw herstelsleutel heeft overgedragen, genereer dan nu een nieuwe in Instellingen en ga ervan uit dat een eventuele back-up die daarvoor is gemaakt al in handen van iemand anders is.
In de mededeling van maart werd gewaarschuwd dat de tactiek zou veranderen. Van het achtervolgen van eenmalige codes tot het pakken van de sleutel waarmee het hele archief wordt geopend. De encryptie blijft behouden. De rekening is het zwakke punt en de persoon die de rekening beheert is het doelwit.
