قام مكتب التحقيقات الفيدرالي (FBI) وCISA بتحديث تحذيرهما في شهر مارس بشأن حسابات سيجنال للتصيد الاحتيالي للاستخبارات الروسية، وقد أضاف المشغلون خطوة: فهم الآن يقنعون الأهداف بتسليم مفتاح استرداد النسخ الاحتياطي الخاص بهم.
قم بتسليمها مرة واحدة، ويمكن للمهاجم استعادة النسخة الاحتياطية للحساب، وقراءة سجل الرسائل الخاصة والجماعية، والسيطرة على الحساب. والأسوأ من ذلك أن المفتاح يستمر في العمل. يحذر الاستشارة من إنشاء حساب جديد على نفس رقم الهاتف، ولا يزال من الممكن استخدام المفتاح القديم ضده.
الحل واضح وصريح: أنشئ مفتاحًا جديدًا في الإعدادات، والذي يقتل المفتاح القديم لتنزيلات النسخ الاحتياطي المستقبلية، وتقبل أن أي شيء سحبه المهاجم بالفعل قد اختفى.
تضيف النصيحة المحدثة، PSA I-062626-PSA، اسمين للتتبع العام كان إشعار مارس يفتقر إليهما: UNC5792 وUNC4221. ويربط مكتب التحقيقات الفيدرالي هذا النشاط بمجموعات متعددة من أجهزة المخابرات الروسية (RIS)، بما في ذلك ضباط جهاز الأمن الفيدرالي المدمج مع حرس الحدود التابع لجهاز الأمن الفيدرالي وغيرهم ممن يعملون في الخدمات العسكرية الروسية. تصل الحملة إلى حسابات Signal وWhatsApp؛ إن تكتيك مفتاح الاسترداد الجديد الذي يصفه الاستشارة خاص بـ Signal.
المستهدفون هم أفراد ذوو قيمة استخباراتية عالية: مسؤولون حكوميون أمريكيون ودوليون حاليون وسابقون، وأفراد عسكريون، وشخصيات سياسية، وصحفيون، ومسؤولون في أوكرانيا. وجاء في إشعار مارس/آذار أن الحملة الأوسع قد أضرت بالفعل بآلاف الحسابات في جميع أنحاء العالم.
تظهر رسالة التصيد الاحتيالي على أنها دعم لتطبيق Signal. طلبت الموجات السابقة رموز التحقق عبر الرسائل القصيرة وأرقام التعريف الشخصية للحساب، أو استخدمت روابط “دعوة جماعية” تم التلاعب بها والتي تربط جهاز المهاجم بالحساب بصمت.
يقوم الإصدار المحدث بتوجيه الهدف من خلال تشغيل النسخ الاحتياطية لتطبيق Signal، وفتح مفتاح الاسترداد، ولصقه في الدردشة. يطبع التحذير نموذجين لرسالتين: إحداهما ترتدي طابعًا إلزاميًا مكونًا من عاملين، والأخرى كإصلاح عاجل “لاستعادة البيانات” للرسائل التي يُفترض أنها معرضة لخطر الفقدان.
وكما هو الحال في شهر مارس، أوضحت الوكالات أن أيًا من هذه الأمور لا يكسر تشفير Signal أو التطبيق نفسه. يقوم الممثلون بتسوية الحسابات الفردية من خلال الهندسة الاجتماعية، ثم يدخلون من خلال ميزة مشروعة.
وإلى جانب التحديث، يقدم برنامج المكافآت من أجل العدالة التابع لوزارة الخارجية ما يصل إلى 10 ملايين دولار للحصول على معلومات حول UNC5792.
يتداخل هذا النشاط مع تحذيرات من المخابرات الهولندية (AIVD وMIVD)، وBfV وBSI الألمانيتين، وANSSI الفرنسية في وقت سابق من هذا العام. قامت مجموعة Threat Intelligence Group من Google لأول مرة بتوثيق إساءة استخدام UNC5792 لميزة الجهاز المرتبط بـ Signal في أوائل عام 2025، وشهدت نفس الحرفة التجارية تظهر ضد WhatsApp و Telegram.
ماذا تفعل الآن
- تعامل مع أي رسالة داخل التطبيق من “دعم الإشارة” على أنها معادية. لا يقوم الدعم الحقيقي بإرسال رسائل إليك داخل التطبيق لطلب الرموز أو أرقام التعريف الشخصية أو مفتاح الاسترداد الخاص بك.
- لا تقم مطلقًا بلصق مفتاح استرداد النسخة الاحتياطية أو رمز التحقق أو رقم التعريف الشخصي في الدردشة. لا شيء شرعي يطلب منهم بهذه الطريقة.
- افتح الإعدادات، وتحقق من الأجهزة المرتبطة، وقم بإزالة أي شيء لا تعرفه.
- إذا كنت تعتقد أنك سلمت مفتاح الاسترداد الخاص بك، فقم بإنشاء مفتاح جديد في الإعدادات الآن، وافترض أن أي نسخة احتياطية تم إجراؤها قبل ذلك هي بالفعل في أيدي شخص آخر.
وحذر إشعار مارس من أن التكتيكات ستتغير. لقد فعلوا ذلك، بدءًا من مطاردة الرموز التي تستخدم لمرة واحدة وحتى أخذ المفتاح الذي يفتح الأرشيف بأكمله. التشفير يحمل. الحساب هو نقطة الضعف، وصاحبه هو الهدف.
