Niemieckie służby ostrzegają przed nową kampanią phishingową na aplikacji Signal

Federalne Biuro Ochrony Konstytucji Niemiec (BfV) oraz Federalne Biuro Bezpieczeństwa Informacji (BSI) wydały wspólne ostrzeżenie dotyczące złośliwej kampanii cybernetycznej, która najprawdopodobniej ma swoje źródło w działaniach sponsorowanych przez państwo. Ataki phishingowe prowadzone są za pośrednictwem aplikacji wiadomości Signal.

Agencje zwróciły uwagę, że głównymi celami są wysokiej rangi osoby w polityce, wojsku, dyplomacji, a także dziennikarze śledczy w Niemczech i Europie. „Nieautoryzowany dostęp do kont komunikatora pozwala nie tylko na dostęp do poufnych prywatnych wiadomości, ale także potencjalnie kompromituje całe sieci” – dodają.

Interesującą cechą tej kampanii jest fakt, że nie wykorzystuje ona złośliwego oprogramowania ani luk w zabezpieczeniach samej aplikacji, której priorytetem jest ochrona prywatności użytkowników. Celem jest raczej wykorzystanie legalnych funkcji aplikacji w celu uzyskania ukrytego dostępu do rozmów ofiary oraz ich list kontaktów.

Sposób działania ataku

Łańcuch ataku wygląda następująco: sprawcy przestępczy podszywają się pod „Wsparcie Signal” lub chatbota o nazwie „Signal Security ChatBot”, aby nawiązać bezpośredni kontakt z potencjalnymi ofiarami. Namawiają ich do podania kodu PIN lub weryfikacyjnego otrzymanego w wiadomości SMS, grożąc utratą danych w przeciwnym razie.

Jeśli ofiara się zgodzi, napastnicy mogą zarejestrować jego konto i uzyskać dostęp do profilu, ustawień, kontaktów i listy zablokowanych osób poprzez urządzenie i numer telefonu, który znajduje się pod ich kontrolą. Choć skradziony PIN nie umożliwia dostępu do poprzednich rozmów ofiary, przestępca może go wykorzystać do przechwycenia nadchodzących wiadomości oraz wysyłania wiadomości jako ofiara.

Osoba, która utraciła dostęp do swojego konta, jest następnie instruowana przez przestępcę, udającego chatbot wsparcia, do zarejestrowania nowego konta.

Ikona linkowania urządzenia

Istnieje również alternatywna sekwencja infekcji, która wykorzystuje opcję linkowania urządzeń, aby oszukać ofiary do zeskanowania kodu QR, co daje napastnikom dostęp do konta ofiary, w tym jej wiadomości z ostatnich 45 dni, na urządzeniu, którym zarządzają.

W tej sytuacji jednak, docelowe osoby nadal mają dostęp do swojego konta, nie zdając sobie sprawy, że ich rozmowy i listy kontaktów są teraz również narażone na dostęp przestępców.

Oszustwa w komunikatorach

Służby bezpieczeństwa ostrzegły, że chociaż obecnym celem kampanii jest Signal, atak można również rozszerzyć na WhatsApp, który posiada podobne funkcje linkowania urządzeń i PIN w ramach dwuetapowej weryfikacji.

„Udany dostęp do kont komunikacji nie tylko umożliwia przeglądanie poufnych wiadomości, ale także potencjalnie kompromituje całe sieci w ramach czatów grupowych” – stwierdziły BfV i BSI.

Nie wiadomo, kto stoi za tymi działaniami, ale podobne ataki były wcześniej przeprowadzane przez różne grupy powiązane z Rosją, znane jako Star Blizzard, UNC5792 (UAC-0195) oraz UNC4221 (UAC-0185), według raportów Microsoftu i Google Threat Intelligence Group z początku ubiegłego roku.

Globalny kontekst zagrożeń

W grudniu 2025 roku firma Gen Digital szczegółowo opisała inną kampanię pod kryptonimem GhostPairing, w której cyberprzestępcy wykorzystali funkcję linkowania urządzeń na WhatsApp, aby przejąć kontrolę nad kontami, prawdopodobnie w celu podszywania się pod użytkowników lub popełniania oszustw.

Aby zapewnić sobie ochronę przed tym zagrożeniem, użytkownicy są zachęcani do nieangażowania się w interakcje z kontami wsparcia oraz do niewprowadzania swojego PIN-u Signal w wiadomościach tekstowych. Kluczową linią obrony jest włączenie blokady rejestracji, co zapobiega nieautoryzowanym użytkownikom w rejestracji numeru telefonu na innym urządzeniu. Rekomenduje się również okresowe przeglądanie listy połączonych urządzeń i usuwanie wszelkich nieznanych urządzeń.

Ostrzeżenie to pojawiło się po zarzutach rządu norweskiego wobec grup hakerskich wspieranych przez Chiny, w tym Salt Typhoon, które zhakowały kilka organizacji w kraju, wykorzystując podatne urządzenia sieciowe. Norwegowie wskazali również Rosję na monitorowanie celów wojskowych oraz Iranu na inwigilację dysydentów.

„Usługi wywiadowcze Chin starają się rekrutować obywateli Norwegii, aby uzyskać dostęp do tajnych danych” – zauważył Norweski Urząd Policji Bezpieczeństwa (PST). „Ci źródła są następnie zachęcani do tworzenia własnych sieci ludzkich, reklamując półetatowe oferty na portalach pracy lub kontaktując się z nimi przez LinkedIn.”

„Iraccy cyberprzestępcy przejmują konta e-mail, profile w mediach społecznościowych i prywatne komputery dysydentów, aby zbierać informacje o nich i ich sieciach” – dodał PST. „Ci aktorzy mają zaawansowane umiejętności i będą kontynuowali rozwijanie swoich metod, aby przeprowadzać coraz bardziej ukierunkowane i inwazyjne operacje przeciwko osobom w Norwegii.”

Ujawnienie to następuje po poradzie z CERT Polska, która oceniła, że rosyjska grupa hakerska o nazwie Static Tundra prawdopodobnie stoi za skoordynowanymi atakami cybernetycznymi wymierzonymi w ponad 30 farm wiatrowych i fotowoltaicznych, prywatną firmę z sektora produkcji oraz dużą elektrownię źródła ciepła (CHP), która zaopatruje w energię niemal pół miliona klientów w kraju.

„W każdym dotkniętym obiekcie obecny był urządzenie FortiGate, służące jako zarówno koncentrator VPN, jak i zapora ogniowa” – podkreślono. „W każdym przypadku interfejs VPN był narażony na internet i pozwalał na uwierzytelnienie do kont zdefiniowanych w konfiguracji bez weryfikacji dwuetapowej.”