Attacco alle chiavi di recupero di Signal: come cambia la minaccia dei gruppi russi

L’evoluzione della campagna di phishing contro Signal

Il Federal Bureau of Investigation (FBI) e la Cybersecurity and Infrastructure Security Agency (CISA) hanno aggiornato un avviso pubblico già diffuso nel marzo 2026, segnalando un’evoluzione nelle tattiche di un gruppo di hacker legati ai servizi di intelligence russi. Inizialmente, gli attori minacciosi — identificati come UNC5792 e UNC4221 — si erano concentrati sul furto di codici di verifica o PIN di accesso, o sull’inganno per indurre gli utenti a collegare dispositivi controllati dagli attaccanti ai propri account Signal. Ora, secondo l’agenzia federale statunitense, la campagna ha ampliato il proprio raggio d’azione: oltre a questi metodi, i cybercriminali mirano esplicitamente alle chiavi di recupero dei backup di Signal, elementi critici che permettono l’accesso completo a conversazioni e media archiviati.

L’aggiornamento dell’avviso sottolinea come gli attaccanti continuino a impersonare il supporto tecnico di Signal, inviando messaggi di phishing che annunciano l’introduzione di una verifica in due fattori “obbligatoria” a seguito di presunte ondate di attacchi da parte di hacker provenienti da Iran e paesi post-sovietici. Il messaggio falso afferma che Signal avrebbe aggiornato termini di servizio e privacy policy, e che per non perdere messaggi e media sia necessario abilitare i backup e registrare la chiave di recupero. In questo modo, gli utenti sono indotti a condividere informazioni sensibili che, una volta ottenute, consentono ai malintenzionati di decrittare e accedere all’intero storico delle comunicazioni.

I bersagli della campagna: chi rischia di più

Secondo il FBI, la campagna di phishing è altamente mirata e colpisce individui di alto valore intelligence, tra cui funzionari governativi attuali e passati, militari, figure politiche, giornalisti e funzionari chiave presenti in Ucraina. L’agenzia attribuisce l’attività a servizi di intelligence russi, inclusi ufficiali incorporati nella Guardia di Frontiera del FSB e altri attori che operano per conto dell’esercito russo. Questa selezione dei target non è casuale: messaggi e documenti riservati, comunicazioni strategiche e contatti sensibili rappresentano asset di intelligence di primaria importanza, soprattutto in un contesto geopolitico come quello attuale, dove la guerra in Ucraina e le tensioni internazionali rendono questi dati ancora più appetibili.

La scelta di puntare su Signal non è casuale. Nonostante l’applicazione sia nota per il suo approccio alla sicurezza — basato su crittografia end-to-end e anonimato — i backup locali o cloud possono diventare un punto debole se non gestiti correttamente. Gli attaccanti, una volta ottenuta la chiave di recupero, possono accedere direttamente ai file di backup, spesso cifrati ma che, se scaricati localmente, possono essere decrittati lato client. Questo espande notevolmente il potenziale impatto di un singolo attacco: non si tratta solo di hijacking dell’account in tempo reale, ma di un accesso retroattivo a mesi o anni di conversazioni, allegati e metadati.

Come funziona l’attacco: dalla truffa alla compromissione

Il meccanismo di attacco si basa su una combinazione di ingegneria sociale e sfruttamento di funzionalità legittime di Signal. Gli utenti ricevono un messaggio — spesso tramite SMS o canali di messaggistica apparentemente ufficiali — in cui viene loro richiesto di abilitare i backup e registrare la chiave di recupero per “proteggere i propri dati” a seguito di presunte vulnerabilità. Il messaggio include link a siti web falsi che imitano l’interfaccia di Signal, dove viene richiesto l’inserimento della chiave di recupero o del PIN di accesso. Una volta ottenuta, la chiave viene utilizzata per decrittare i backup locali o scaricarli da servizi cloud terzi, se configurati.

Un dettaglio critico segnalato dal FBI è che gli attaccanti non si limitano a rubare la chiave di recupero, ma la combinano spesso con altri dati sottratti, come codici di verifica o PIN, per ottenere un accesso persistente all’account. Questo approccio multi-vettore aumenta la probabilità di successo dell’attacco e la resilienza dell’accesso ottenuto. Inoltre, gli attaccanti possono utilizzare account compromessi per diffondere ulteriori messaggi di phishing verso i contatti della vittima, ampliando la portata dell’operazione e la raccolta di informazioni.

Perché le chiavi di recupero sono il nuovo obiettivo principale

Le chiavi di recupero di Signal rappresentano un punto di attacco particolarmente insidioso perché sono progettate per essere l’unico modo per recuperare i messaggi in caso di smarrimento del dispositivo. Tuttavia, questa stessa funzione diventa un vettore di attacco se l’utente viene ingannato nel condividerla. A differenza dei codici di verifica a tempo limitato, la chiave di recupero è statica e, se compromessa, può essere utilizzata per accedere ai backup in qualsiasi momento futuro.

Il cambiamento tattico degli attaccanti verso questo obiettivo riflette una comprensione approfondita delle abitudini degli utenti e delle vulnerabilità dei sistemi di messaggistica sicura. Gli utenti di Signal, spesso consapevoli dei rischi legati alla crittografia end-to-end, potrebbero sottovalutare la sicurezza dei backup locali o cloud, considerandoli come semplici copie di sicurezza piuttosto che come potenziali porte di accesso ai dati. Questo errore di valutazione è esattamente ciò che gli attaccanti sfruttano per superare le difese crittografiche avanzate di Signal.

Impatto pratico: cosa rischiano le vittime

Per chi cade vittima di questo attacco, le conseguenze possono essere gravi e durature. Una volta ottenuta la chiave di recupero, gli attaccanti possono accedere a mesi o anni di messaggi, allegati, foto e metadati, inclusi orari, mittenti e frequenza delle comunicazioni. Questi dati possono essere utilizzati per ricostruire reti di contatti, identificare fonti sensibili o persino per ricattare le vittime. Inoltre, la compromissione di un account Signal può portare alla diffusione di ulteriori attacchi verso i contatti della vittima, creando un effetto domino che amplifica il danno.

Un altro aspetto critico è la persistenza dell’accesso. A differenza di un attacco che compromette solo l’accesso corrente, la chiave di recupero permette agli attaccanti di accedere ai backup anche dopo la rimozione dell’account o la disinstallazione dell’applicazione. Questo significa che, anche se la vittima si rende conto dell’attacco e cambia dispositivo o disabilita i backup, i dati storici rimangono potenzialmente accessibili. La sola rimozione dell’applicazione non è sufficiente per mitigare il rischio.

Come proteggersi: best practice per utenti e organizzazioni

Per gli utenti individuali, la prima linea di difesa è la consapevolezza. È fondamentale diffidare di qualsiasi messaggio che richieda l’inserimento di chiavi di recupero, PIN o codici di verifica, soprattutto se proviene da presunti account di supporto. Signal non chiede mai queste informazioni tramite messaggi non richiesti. Inoltre, è consigliabile disabilitare i backup automatici o, se necessari, proteggerli con password forti e crittografia aggiuntiva. La chiave di recupero dovrebbe essere memorizzata in un luogo sicuro, come un password manager cifrato, e mai condivisa o archiviata in chiaro.

Per le organizzazioni, la formazione continua degli utenti è essenziale, soprattutto per quelle figure ad alto rischio come funzionari, militari e giornalisti. È utile implementare policy che limitino l’uso di applicazioni di messaggistica personale per comunicazioni sensibili, promuovendo invece soluzioni aziendali con controlli di sicurezza avanzati. Inoltre, la verifica periodica degli accessi sospetti e l’adozione di strumenti di monitoraggio delle attività anomale possono ridurre il rischio di compromissione prolungata.

Il ruolo delle piattaforme e delle autorità

Signal ha già risposto alle segnalazioni del FBI, sottolineando che l’applicazione non richiede mai la condivisione della chiave di recupero tramite messaggi o email. La società ha inoltre aggiornato le proprie linee guida per gli utenti, invitando a verificare sempre la provenienza dei messaggi e a segnalare eventuali tentativi di phishing. Tuttavia, la responsabilità della sicurezza non può ricadere esclusivamente sulle piattaforme. Le autorità, come il FBI e la CISA, continuano a monitorare queste campagne e a pubblicare avvisi tempestivi, ma la collaborazione con provider di servizi cloud, operatori telefonici e aziende di sicurezza informatica è fondamentale per bloccare la diffusione dei siti di phishing e identificare gli attaccanti.

Un altro aspetto critico è la collaborazione internazionale. Data la natura transnazionale di questi attacchi, le indagini e le azioni di contrasto richiedono uno sforzo congiunto tra agenzie di intelligence, forze dell’ordine e governi. Solo attraverso una risposta coordinata è possibile ridurre la portata di queste campagne e proteggere i soggetti a rischio.

Cosa monitorare nei prossimi mesi

Gli esperti di cybersecurity prevedono che questo tipo di attacchi continuerà a evolversi, con gli attaccanti che adotteranno tattiche sempre più sofisticate per eludere le difese degli utenti. È probabile che assisteremo a un aumento di campagne di phishing che combinano più vettori di attacco, come l’uso di deepfake per simulare chiamate o messaggi vocali da parte di presunti operatori di supporto. Inoltre, l’adozione di tecniche di social engineering sempre più personalizzate, basate su informazioni pubblicamente disponibili, potrebbe rendere questi attacchi ancora più difficili da individuare.

Un altro elemento da monitorare è l’uso di infrastrutture cloud compromesse per ospitare siti di phishing o per archiviare i dati sottratti. Gli attaccanti potrebbero sfruttare servizi legittimi per mascherare le proprie attività, rendendo più complesso il rilevamento da parte delle autorità. Infine, l’introduzione di nuove funzionalità in Signal o in altre piattaforme di messaggistica sicura potrebbe aprire nuove superfici di attacco, richiedendo agli utenti di adattare le proprie abitudini di sicurezza.

Conclusioni: la sicurezza è una responsabilità condivisa

L’aggiornamento dell’avviso del FBI sui tentativi di furto delle chiavi di recupero di Signal rappresenta un campanello d’allarme per utenti, organizzazioni e autorità. Sebbene Signal rimanga una delle piattaforme di messaggistica più sicure disponibili, la sicurezza assoluta non esiste: dipende dalle azioni degli utenti, dalla robustezza delle infrastrutture e dalla prontezza delle difese. La chiave di recupero, progettata per proteggere i dati, può diventare un’arma nelle mani degli attaccanti se non gestita con la dovuta attenzione.

Per gli utenti, la regola d’oro è semplice: diffidare sempre di richieste non sollecitate che coinvolgano dati sensibili, verificare la provenienza dei messaggi e adottare pratiche di sicurezza rigorose. Per le organizzazioni, la formazione continua e l’implementazione di controlli avanzati sono essenziali per proteggere i soggetti a rischio. Per le autorità, la collaborazione internazionale e l’innovazione nelle tecniche di contrasto rappresentano la strada maestra per ridurre l’impatto di queste campagne.

In un panorama in cui le minacce informatiche diventano sempre più sofisticate e mirate, la consapevolezza e la preparazione sono gli strumenti più efficaci a disposizione. La sicurezza non è un traguardo, ma un processo continuo di adattamento e miglioramento.