Rus istihbaratının yeni hedefi: Signal yedek kurtarma anahtarları

Rus istihbarat örgütlerine bağlı siber tehdit aktörlerinin, Signal kullanıcılarını hedef alan saldırı taktiklerini genişlettikleri ortaya çıktı. ABD Federal Soruşturma Bürosu (FBI) ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kullanıcıların hesaplarına erişim sağlamak amacıyla yedek kurtarma anahtarlarını çalmaya yönelik yeni bir kampanyanın varlığını duyurdu. Bu gelişme, Mart 2026'da yayınlanan önceki bir uyarının ardından geldi ve tehdit aktörlerinin hesapları ele geçirme stratejilerinin ne kadar hızlı evrildiğini gösteriyor.

Saldırganlar, Signal kullanıcılarını yanıltmak için destek hizmeti olarak görünen sahte hesaplardan yararlanıyor. Kullanıcıları, İran ve eski Sovyet ülkelerinden hackerların saldırılarına maruz kaldıkları iddiasıyla iki faktörlü kimlik doğrulamayı etkinleştirmeye zorlayan mesajlar gönderiyor. Bu mesajlarda, kullanıcıların mesaj ve medya verilerini kaybetmemeleri için yedekleme özelliğini etkinleştirmeleri ve kurtarma anahtarını kaydetmeleri isteniyor. Ancak asıl amaç, bu kurtarma anahtarlarını ele geçirerek geçmiş mesajlara ve medya içeriğine erişim sağlamak. Saldırılar, ABD ve uluslararası hükûmet yetkilileri, askerî personel, siyasetçiler, gazeteciler ve Ukrayna'da görev yapan kilit görevlileri hedef alıyor.

Siber tehdit aktörleri kimler ve nasıl çalışıyorlar?

ABD hükûmeti, bu saldırıların Rusya İstihbarat Servisleri (RIS) tarafından yürütüldüğünü ve Federal Güvenlik Servisi (FSB) sınır muhafızlarıyla iş birliği içinde hareket eden unsurların yanı sıra Rusya ordusu adına çalışan aktörlerin de yer aldığını belirtiyor. Kampanya, UNC5792 ve UNC4221 olarak kamuoyunda takip edilen tehdit grupları tarafından yürütülüyor. Bu gruplar, daha önce de Signal gibi uçtan uca şifrelemeli uygulamalarda hesapları ele geçirmek için çeşitli yöntemler kullanmıştı. İlk aşamada, kullanıcıların doğrulama kodlarını veya hesap PIN'lerini çalmayı veya saldırganların kontrolündeki cihazları kullanıcı hesaplarına bağlamayı hedefleyen saldırılar gerçekleştiriliyordu.

Ancak son dönemde saldırganlar, taktiklerini değiştirerek yedek kurtarma anahtarlarını hedef almaya başladı. Bu anahtarlar, Signal kullanıcıları tarafından yedekleme özelliği etkinleştirildiğinde oluşturulan 30 haneli kodlardır ve kullanıcıların tüm mesaj geçmişine ve medya dosyalarına erişim sağlar. Saldırganlar, bu anahtarları ele geçirdikten sonra, kullanıcıların hesabına yeniden erişim sağlayabilir ve geçmiş verileri inceleyebilir. Bu durum, özellikle hassas bilgilere sahip olan hedef gruplar için ciddi bir risk oluşturuyor.

Phishing saldırıları nasıl gerçekleşiyor?

Saldırganlar, Signal kullanıcılarını yanıltmak için oldukça ikna edici sahte mesajlar kullanıyor. Bu mesajlarda, Signal'in İran ve eski Sovyet ülkelerinden hackerların saldırılarına maruz kaldığı ve bunun sonucunda iki faktörlü kimlik doğrulamayı zorunlu hale getirdiği iddia ediliyor. Kullanıcılara gönderilen mesajlarda, "Son dönemde İran ve eski Sovyet ülkelerinden hackerların uygulamamıza yönelik saldırıları arttı. Bu nedenle Signal, Hizmet Koşulları ve Gizlilik Politikasını güncelledi ve kullanıcılar için iki faktörlü kimlik doğrulamasını zorunlu hale getirdi" gibi cümleler kullanılıyor.

Ardından, kullanıcılara mesaj ve medya verilerini kaybetmemeleri için yedekleme özelliğini etkinleştirmeleri ve kurtarma anahtarını kaydetmeleri isteniyor. Bu süreçte, kullanıcılar sahte bir Signal destek sayfasına yönlendiriliyor ve orada kurtarma anahtarlarını girmeleri isteniyor. Bu sayede saldırganlar, kullanıcıların kurtarma anahtarlarına erişim sağlıyor ve hesaplarına tamamen hâkim olabiliyor. Bu saldırı yöntemi, özellikle Signal gibi güvenilir bir uygulama olarak bilinen bir platformda kullanıldığında, kullanıcıların güvenini daha da artırıyor ve saldırıların başarılı olma olasılığını yükseltiyor.

Hangi kullanıcılar hedef alınıyor?

Siber saldırganlar, bu kampanyada oldukça spesifik hedef gruplarına odaklanıyor. ABD ve uluslararası hükûmet yetkilileri, askerî personel, siyasetçiler, gazeteciler ve Ukrayna'da görev yapan kilit görevliler, saldırıların başlıca hedefleri arasında yer alıyor. Bu kişilerin, devlet sırları, askerî planlar, diplomatik görüşmeler veya hassas haber kaynakları gibi oldukça değerli bilgilere sahip olmaları, saldırganların bu grupları hedef almasındaki temel neden. Ayrıca, bu kişilerin Signal gibi güvenilir ve şifrelemeli bir uygulama kullanmaları, saldırganların hesaplarına erişim sağlamalarını daha da kolaylaştırıyor.

Bu hedef grubunun seçilmesi, saldırganların stratejik ve uzun vadeli çıkarlarına hizmet ediyor. Özellikle Rusya'nın bölgesel ve uluslararası arenadaki çıkarları doğrultusunda, bu tür hassas bilgilere erişim sağlamak, Rusya'nın istihbarat toplama ve siber operasyon yeteneklerini güçlendirmesine yardımcı oluyor. Ayrıca, bu saldırılar, Rusya'nın Batı ülkeleriyle olan gerilimini artırmak ve siber alanda üstünlük sağlamak amacıyla da kullanılabiliyor.

Signal kullanıcıları için riskler nelerdir?

Signal'in sunduğu uçtan uca şifreleme, kullanıcıların mesajlarının üçüncü taraflarca okunmasını engellese de, kullanıcıların hesaplarına erişim sağlayan saldırganlar, bu şifrelemeyi bypass edebiliyor. Yedek kurtarma anahtarlarının çalınması durumunda, saldırganlar kullanıcıların tüm mesaj geçmişine, medya dosyalarına ve hatta gelecekteki mesajlarına erişim sağlayabiliyor. Bu durum, kullanıcıların gizliliğinin tamamen ortadan kalkmasına ve hassas bilgilerin sızdırılmasına yol açabiliyor.

Ayrıca, saldırganlar, çalınan kurtarma anahtarlarını kullanarak kullanıcıların hesaplarına yeniden erişim sağlayabilir ve bu hesapları diğer saldırılarda kullanabilir. Örneğin, kullanıcıların arkadaşlarına veya meslektaşlarına sahte mesajlar göndererek, onları da hedef alabilir. Bu durum, hem bireysel kullanıcılar hem de kurumlar için ciddi bir tehdit oluşturuyor. Signal gibi güvenilir bir uygulama kullanmanın bile, hesap güvenliğinin tamamen kullanıcıların sorumluluğunda olduğunu unutmamak gerekiyor.

Korunma yöntemleri nelerdir?

Signal kullanıcıları, yedek kurtarma anahtarlarını çalmaya yönelik saldırılardan korunmak için birkaç önemli adım atabilir. İlk olarak, Signal'in resmi destek kanallarından gelen mesajlara karşı dikkatli olunmalı. Signal, kullanıcılarına doğrudan mesaj yoluyla destek sağlamaz ve resmi bildirimlerde bulunmaz. Bu nedenle, kullanıcıların aldıkları mesajların gerçekliğini doğrulamak için uygulamanın resmi web sitesini veya destek sayfalarını ziyaret etmeleri gerekiyor.

İkinci olarak, kullanıcılar, yedekleme özelliğini kullanırken kurtarma anahtarlarını güvenli bir şekilde saklamalı. Kurtarma anahtarını kağıda yazmak ve güvenli bir yerde saklamak, dijital ortamda saklamaktan daha güvenlidir. Ayrıca, kurtarma anahtarını kimseyle paylaşmamak ve çevrimiçi ortamlarda saklamamak da oldukça önemlidir. Signal, kurtarma anahtarlarını kullanıcıların cihazlarında yerel olarak saklar, ancak saldırganlar bu anahtarları çalmak için çeşitli yöntemler kullanabilir.

Üçüncü olarak, kullanıcılar, hesaplarına erişim sağlamak için kullanılan cihazları düzenli olarak kontrol etmelidir. Signal, kullanıcıların bağlı cihazlarını görüntülemelerine olanak tanır ve kullanıcılar, bilinmeyen veya tanımadıkları cihazları hemen kaldırmalıdır. Ayrıca, iki faktörlü kimlik doğrulamasını etkinleştirmek de hesap güvenliğini artıracaktır. Bu sayede, saldırganların hesaplara erişim sağlaması daha da zorlaşacaktır.

Kurumlar ve hükûmetler için neler yapılabilir?

Kurumlar ve hükûmetler, çalışanlarının ve üyelerinin Signal kullanımını güvenli hale getirmek için çeşitli adımlar atabilir. İlk olarak, çalışanlara yönelik siber güvenlik eğitimleri düzenlenmeli ve Signal gibi uygulamaların güvenli kullanımı hakkında bilgilendirme yapılmalıdır. Özellikle hassas bilgilere sahip olan çalışanlar, phishing saldırılarına karşı daha da dikkatli olmalıdır. Kurumlar, çalışanlarına, Signal'den gelen mesajların doğruluğunu doğrulamaları için resmi kanalları kullanmaları gerektiğini hatırlatmalıdır.

İkinci olarak, kurumlar, çalışanlarının hesap güvenliğini artırmak için iki faktörlü kimlik doğrulamasını zorunlu hale getirebilir. Ayrıca, çalışanların cihazlarını ve hesaplarını düzenli olarak kontrol etmelerini sağlayacak politikalar oluşturarak, bilinmeyen cihazların hesaplara erişimini engelleyebilir. Kurumlar, ayrıca, çalışanlarının Signal kullanımını izleyerek, şüpheli aktiviteleri tespit edebilir ve müdahale edebilir.

Üçüncü olarak, hükûmetler ve kurumlar, siber tehdit aktörlerinin taktiklerini ve tekniklerini yakından takip ederek, yeni saldırı yöntemlerine karşı hazırlıklı olmalıdır. Bu sayede, hem kendi sistemlerini hem de çalışanlarını koruyabilir ve siber saldırılara karşı daha dirençli hale gelebilir. Ayrıca, uluslararası iş birliği ve bilgi paylaşımı, siber tehditlerin tespiti ve önlenmesinde oldukça önemlidir.

Gelecekte neler bekleniyor?

Siber tehdit aktörlerinin, Signal gibi güvenilir ve şifrelemeli uygulamaları hedef almaya devam etmeleri bekleniyor. Özahbarat örgütleri, özellikle uçtan uca şifrelemeli uygulamaların yaygınlaşmasıyla birlikte, kullanıcıların hesaplarına erişim sağlamak için yeni yöntemler geliştirmeye devam edecekler. Bu durum, kullanıcıların hesap güvenliğine daha fazla önem vermelerini ve siber tehditlere karşı daha bilinçli olmalarını gerektiriyor.

Ayrıca, Signal gibi uygulamaların geliştiricileri de, kullanıcıların güvenliğini artırmak için sürekli olarak yeni güvenlik önlemleri ve özellikler geliştirmek zorunda kalacaklar. Örneğin, kullanıcıların kurtarma anahtarlarını daha güvenli bir şekilde saklamalarına olanak tanıyan yeni yöntemler veya hesap güvenliğine yönelik yeni kontroller gibi. Kullanıcılar ve geliştiricilerin birlikte çalışması, siber tehditlere karşı daha dirençli bir ortam oluşturacaktır.

Sonuç olarak, Rus istihbaratına bağlı siber tehdit aktörlerinin Signal kullanıcılarını hedef alan yeni saldırı taktikleri, hem bireysel kullanıcılar hem de kurumlar için ciddi bir tehdit oluşturuyor. Kullanıcıların ve kurumların, hesap güvenliğine daha fazla önem vermeleri ve siber tehditlere karşı daha bilinçli olmaları gerekiyor. Bu sayede, hem hassas bilgilerin korunması hem de siber saldırıların önlenmesi mümkün olacaktır.