Russlands Geheimdienste nutzen Signal-Backup-Wiederherstellungsschlüssel für Account-Übernahmen

Russische Geheimdienste haben ihre Phishing-Taktiken gegen Signal-Nutzer verschärft. Die Angreifer überreden Opfer dazu, ihren Backup-Wiederherstellungsschlüssel preiszugeben. Mit diesem Schlüssel können die Täter nicht nur die aktuelle Chat-Historie einsehen, sondern auch künftige Nachrichten mitlesen und die Kontrolle über den Account behalten – selbst wenn das Opfer ein neues Konto mit derselben Handynummer anlegt. Das FBI und die Cybersecurity and Infrastructure Security Agency (CISA) warnen vor dieser Methode, die seit März 2024 dokumentiert ist und nun in einer aktualisierten Empfehlung detailliert beschrieben wird.

Die Angriffe zielen auf hochrangige Personen ab: aktuelle und ehemalige Regierungsbeamte der USA und anderer Länder, Militärangehörige, Politiker, Journalisten sowie ukrainische Offizielle. Die Täter nutzen Social Engineering, um an den Wiederherstellungsschlüssel zu gelangen. Sie geben sich als Signal-Support aus oder behaupten, ein Update oder eine Sicherheitsmaßnahme sei erforderlich. Sobald der Schlüssel in den Besitz der Angreifer gelangt, können diese die Backup-Daten des Accounts herunterladen, die gesamte Chat-Historie einsehen und die Kontrolle über das Konto übernehmen. Selbst ein Wechsel der Handynummer oder die Erstellung eines neuen Signal-Accounts stoppt den Zugriff nicht, da der Schlüssel weiterhin gültig bleibt.

Die Behörden betonen, dass diese Angriffe nicht auf eine Schwachstelle in Signal selbst zurückzuführen sind. Vielmehr nutzen die Täter legitime Funktionen der App aus, um an sensible Daten zu gelangen. Signal hat in der Vergangenheit immer wieder betont, dass die Ende-zu-Ende-Verschlüsselung des Dienstes nicht kompromittiert wurde. Die Sicherheitslücken entstehen ausschließlich durch menschliches Fehlverhalten – in diesem Fall durch die Preisgabe des Wiederherstellungsschlüssels.

Wie die Angriffe ablaufen: Von der Phishing-Nachricht bis zur Account-Übernahme

Die Angreifer beginnen mit einer scheinbar harmlosen Nachricht, die als offizielle Kommunikation von Signal getarnt ist. In früheren Wellen forderten sie Opfer auf, SMS-Verifizierungscodes oder Account-PINs preiszugeben oder auf manipulierte Gruppen-Einladungslinks zu klicken. Die aktualisierte Methode geht einen Schritt weiter: Die Opfer werden dazu gebracht, die Backup-Funktion in Signal zu aktivieren und ihren Wiederherstellungsschlüssel preiszugeben.

Ein typisches Szenario sieht so aus: Die Zielperson erhält eine Nachricht, die behauptet, Signal führe ein neues Zwei-Faktor-Authentifizierungsverfahren ein oder es bestehe ein Problem mit der Datensicherung. Die Nachricht enthält Anweisungen, wie man den Wiederherstellungsschlüssel generiert und an den vermeintlichen Support sendet. Sobald der Schlüssel in den Händen der Angreifer ist, können diese die Backup-Daten des Accounts herunterladen und die gesamte Chat-Historie einsehen. Anschließend übernehmen sie die Kontrolle über den Account und können künftige Nachrichten mitlesen.

Die Behörden warnen davor, dass die Angreifer auch nach der Übernahme des Accounts weiterhin Zugriff haben, solange der Wiederherstellungsschlüssel nicht deaktiviert wird. Selbst wenn das Opfer einen neuen Signal-Account mit derselben Handynummer erstellt, bleibt der alte Schlüssel gültig und kann weiterhin missbraucht werden. Dies macht die Angriffe besonders gefährlich, da sie nicht durch einfache Maßnahmen wie einen Account-Wechsel gestoppt werden können.

Die Rolle der Geheimdienste: Wer steckt hinter den Angriffen?

Das FBI und CISA haben die Angriffe zwei bekannten Hackergruppen zugeordnet: UNC5792 und UNC4221. Beide Gruppen werden mit russischen Geheimdiensten in Verbindung gebracht, darunter der FSB (Federalnaja Sluschba Besopasnosti) und andere militärische Nachrichtendienste Russlands. Die Angriffe richten sich gezielt gegen Personen mit hohem Informationswert, darunter Regierungsbeamte, Militärangehörige und Journalisten.

Die Aktivitäten überschneiden sich mit Warnungen, die bereits von europäischen Geheimdiensten wie dem niederländischen AIVD und MIVD, dem deutschen BfV und BSI sowie der französischen ANSSI veröffentlicht wurden. Diese Behörden hatten bereits frühzeitig auf die Gefahren hingewiesen, die von russischen Hackergruppen ausgehen, die gezielt Messengerdienste wie Signal und WhatsApp angreifen.

Die Motivation hinter den Angriffen ist klar: Die Täter wollen an sensible Informationen gelangen, die für ihre strategischen Ziele von Bedeutung sind. Dazu gehören interne Regierungsdokumente, militärische Pläne oder vertrauliche Gespräche mit Verbündeten. Die Tatsache, dass die Angriffe gezielt auf hochrangige Personen abzielen, unterstreicht die Bedeutung der abgegriffenen Daten für die russischen Geheimdienste.

Warum der Signal-Backup-Wiederherstellungsschlüssel so gefährlich ist

Signal bietet eine Ende-zu-Ende-Verschlüsselung, die sicherstellt, dass nur die Kommunikationspartner die Inhalte der Nachrichten lesen können. Allerdings hat die App auch eine Backup-Funktion, die es Nutzern ermöglicht, ihre Chat-Historie und Medieninhalte auf externen Servern zu speichern. Diese Backups sind ebenfalls verschlüsselt, aber der Schlüssel zur Entschlüsselung wird lokal auf dem Gerät des Nutzers generiert und kann an Dritte weitergegeben werden.

Genau hier setzen die Angreifer an: Sie überreden das Opfer, den Wiederherstellungsschlüssel preiszugeben. Mit diesem Schlüssel können sie die Backup-Daten herunterladen und entschlüsseln. Dadurch erhalten sie Zugriff auf die gesamte Chat-Historie, einschließlich privater und Gruppenchats. Zudem können sie die Kontrolle über den Account übernehmen und künftige Nachrichten mitlesen.

Das Problem wird dadurch verschärft, dass der Wiederherstellungsschlüssel auch nach der Deinstallation der App oder dem Wechsel der Handynummer weiterhin gültig bleibt. Selbst wenn das Opfer einen neuen Signal-Account erstellt, kann der alte Schlüssel weiterhin missbraucht werden. Dies macht die Angriffe besonders hartnäckig und schwer zu bekämpfen.

Was Nutzer tun können: Praktische Schritte zum Schutz des Signal-Accounts

Die Behörden empfehlen Nutzern, sofort zu handeln, wenn sie den Verdacht haben, dass ihr Wiederherstellungsschlüssel kompromittiert wurde. Der erste Schritt besteht darin, einen neuen Wiederherstellungsschlüssel in den Signal-Einstellungen zu generieren. Dadurch wird der alte Schlüssel ungültig, und die Angreifer können keine weiteren Backups mehr herunterladen. Allerdings müssen Nutzer akzeptieren, dass alles, was die Angreifer bereits entwendet haben, verloren ist.

Zusätzlich sollten Nutzer folgende Maßnahmen ergreifen, um ihre Accounts zu schützen:

• Signal-Backups deaktivieren: In den Einstellungen kann die Backup-Funktion komplett ausgeschaltet werden. Dies verhindert, dass Angreifer auf die Chat-Historie zugreifen können, auch wenn sie den Wiederherstellungsschlüssel besitzen.
• Zwei-Faktor-Authentifizierung aktivieren: Signal bietet eine optionale Zwei-Faktor-Authentifizierung, die zusätzliche Sicherheit bietet. Allerdings schützt diese Maßnahme nicht vor der Preisgabe des Wiederherstellungsschlüssels.
• Vorsicht bei unerwarteten Nachrichten: Nutzer sollten niemals auf Links in unerwarteten Nachrichten klicken oder persönliche Daten wie Wiederherstellungsschlüssel preisgeben. Im Zweifel sollte man die offizielle Signal-Website oder den Support kontaktieren, um die Echtheit der Nachricht zu überprüfen.

Falls ein Account bereits kompromittiert wurde, empfiehlt das FBI, den Signal-Support zu kontaktieren und den Vorfall zu melden. Zudem sollten Nutzer prüfen, ob ihre Handynummer in anderen Konten (z.B. WhatsApp) mit dem kompromittierten Signal-Account verknüpft ist, und gegebenenfalls zusätzliche Sicherheitsmaßnahmen ergreifen.

Die Reaktion der Behörden: Warnungen und Belohnungen für Hinweise

Das FBI und CISA haben ihre Warnungen in einer aktualisierten Empfehlung veröffentlicht, die auch die Tracking-Namen UNC5792 und UNC4221 enthält. Diese Namen wurden in der ursprünglichen Warnung aus dem März 2024 noch nicht erwähnt. Die Behörden betonen, dass die Angriffe Teil einer größeren Kampagne russischer Geheimdienste sind, die gezielt hochrangige Personen ins Visier nimmt.

Neben den behördlichen Warnungen hat das US-Außenministerium im Rahmen des Programms "Rewards for Justice" eine Belohnung von bis zu 10 Millionen US-Dollar für Informationen angeboten, die zur Identifizierung oder Festnahme der Verantwortlichen führen. Diese Maßnahme unterstreicht die Ernsthaftigkeit, mit der die US-Regierung die Bedrohung durch russische Hackerangriffe einschätzt.

Auch in Europa haben die Geheimdienste vor den Angriffen gewarnt. Die niederländischen Behörden AIVD und MIVD, das deutsche Bundesamt für Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie die französische ANSSI haben ähnliche Warnungen veröffentlicht. Diese internationale Koordination zeigt, dass die Bedrohung durch russische Hackerangriffe ein globales Problem ist, das gemeinsame Gegenmaßnahmen erfordert.

Signal und andere Messenger: Wie sicher sind verschlüsselte Kommunikationsdienste?

Signal gilt als einer der sichersten Messengerdienste, da er eine starke Ende-zu-Ende-Verschlüsselung bietet und keine Backdoors für Geheimdienste oder Unternehmen enthält. Allerdings zeigen die aktuellen Angriffe, dass selbst die sichersten Dienste nicht immun gegen Social Engineering sind. Die Angreifer nutzen legitime Funktionen wie die Backup-Funktion aus, um an sensible Daten zu gelangen.

Im Vergleich zu anderen Messengern wie WhatsApp oder Telegram bietet Signal zwar mehr Kontrolle über die eigenen Daten, aber auch hier gibt es Risiken. WhatsApp nutzt ebenfalls eine Ende-zu-Ende-Verschlüsselung, aber die Backup-Funktion ist weniger transparent und könnte ebenfalls Angriffsfläche bieten. Telegram bietet zwar verschlüsselte Chats an, aber die Standard-Chats sind nicht verschlüsselt, und die Cloud-basierten Chats sind anfälliger für Angriffe.

Nutzer sollten sich bewusst sein, dass keine Technologie vor Social Engineering schützt. Selbst die sichersten Dienste können kompromittiert werden, wenn Nutzer sensible Daten preisgeben. Daher ist es wichtig, sich über die Risiken zu informieren und geeignete Sicherheitsmaßnahmen zu ergreifen.

Fazit: Wachsamkeit und proaktive Maßnahmen sind entscheidend

Die aktuellen Angriffe russischer Geheimdienste auf Signal-Nutzer zeigen, wie gefährlich Social Engineering in Kombination mit legitimen App-Funktionen sein kann. Die Täter nutzen gezielte Phishing-Methoden, um an den Backup-Wiederherstellungsschlüssel zu gelangen, und erhalten dadurch dauerhaften Zugriff auf die Accounts ihrer Opfer. Selbst technische Maßnahmen wie ein Account-Wechsel oder die Deinstallation der App stoppen den Zugriff nicht, solange der Schlüssel nicht deaktiviert wird.

Für Nutzer bedeutet das: Vorsicht bei unerwarteten Nachrichten, regelmäßige Überprüfung der Sicherheitseinstellungen und sofortiges Handeln bei Verdacht auf Kompromittierung. Behörden und Geheimdienste weltweit warnen vor dieser Bedrohung und bieten Unterstützung an. Gleichzeitig zeigt die internationale Koordination, dass es sich um ein globales Problem handelt, das gemeinsame Lösungen erfordert.

Signal bleibt ein sicherer Messengerdienst, aber die Sicherheit hängt auch von den Nutzern ab. Wer die Risiken kennt und proaktiv handelt, kann sich besser schützen. Die aktuellen Angriffe sind eine Erinnerung daran, dass Cyberbedrohungen ständig evolvieren – und dass Wachsamkeit der beste Schutz ist.