АНУ-ын Холбооны мөрдөх товчоо (FBI) болон Кибер аюулгүй байдал, дэд бүтцийн аюулгүй байдлын агентлаг (CISA) гуравдугаар сард гаргасан сэрэмжлүүлгээ шинэчилж, ОХУ-ын тагнуулын байгууллагууд Signal хэрэглэгчдийн бүртгэлийг хулгайлах шинэ арга хэрэглэж байгааг анхаарууллаа.
Шинэ халдлагын үеэр халдагчид хэрэглэгчдийг хуурч, Signal Backup Recovery Key (Нөөц сэргээх түлхүүр)-ээ сайн дураараа илгээхийг шаарддаг болсон байна.
Хэрэв хэрэглэгч энэ түлхүүрээ өгвөл халдагчид:
- Signal-ийн нөөц хуулбарыг сэргээх,
- Хувийн болон группийн бүх мессежийн түүхийг унших,
- Бүртгэлийг бүрэн эзэмших боломжтой болно.
Хамгийн ноцтой нь тухайн сэргээх түлхүүр нь хүчинтэй хэвээр үлддэг. Хэрэглэгч ижил утасны дугаараар шинэ Signal бүртгэл үүсгэсэн ч хуучин Recovery Key-г ашиглан өмнөх нөөц мэдээлэлд дахин нэвтрэх боломжтой гэж зөвлөмжид дурджээ.
Шинэ хамгаалах арга хэмжээ
FBI болон CISA дараах зөвлөмжийг өгч байна.
- Signal → Settings хэсэгт орж шинэ Backup Recovery Key үүсгэх.
- Ингэснээр хуучин түлхүүрээр цаашид шинэ нөөц татах боломжгүй болно.
- Харин өмнө нь алдагдсан нөөц мэдээллийг буцаан хамгаалах боломжгүй тул халдагч аль хэдийн хуулбарласан гэж үзэх шаардлагатай.
Халдлагын ард хэн байна вэ?
Шинэ зөвлөмж болох PSA I-062626-PSA нь өмнөх мэдэгдэлд байгаагүй дараах хоёр бүлгийг нэрлэн дурдсан.
- UNC5792
- UNC4221
FBI-ийн мэдээлснээр эдгээр ажиллагаанд ОХУ-ын хэд хэдэн тагнуулын байгууллагын ажилтнууд оролцож байгаа бөгөөд үүнд:
- FSB-ийн Хилийн цэргийн нэгжид ажилладаг офицерууд,
- Оросын цэргийн тагнуулын байгууллагын ажилтнууд багтаж байна.
Энэхүү кампанит ажиллагаа нь Signal болон WhatsApp хэрэглэгчдийг онилдог боловч Backup Recovery Key хулгайлах шинэ арга нь зөвхөн Signal хэрэглэгчдэд чиглэж байна.
Гол бай нь хэн бэ?
Халдагчид өндөр үнэ цэнтэй мэдээлэл эзэмшдэг хүмүүсийг онилж байна.
Үүнд:
- АНУ болон бусад улсын төрийн одоогийн болон хуучин албан тушаалтнууд
- Цэргийн албан хаагчид
- Улс төрийн зүтгэлтнүүд
- Сэтгүүлчид
- Украины төрийн байгууллагын ажилтнууд
Гуравдугаар сарын сэрэмжлүүлгээр дэлхий даяар мянга мянган бүртгэл аль хэдийн өртсөн гэж мэдээлж байсан.
Халдлага хэрхэн явагддаг вэ?
Эхний үе шатанд халдагчид өөрсдийгөө "Signal Support" гэж танилцуулан дараах мэдээллийг авахыг оролддог байсан.
- SMS баталгаажуулах код
- Account PIN
- Хуурамч группийн урилгын холбоос ашиглан төхөөрөмж холбох
Харин шинэ хувилбар нь илүү аюултай болжээ.
Хэрэглэгчийг:
- Signal Backup идэвхжүүлэх,
- Recovery Key-г нээх,
- Түүнийг чат руу хуулж илгээх
алхмуудыг хийхийг зааварладаг.
Фишинг зурвасууд нь дараах байдлаар харагддаг.
- "Заавал хийх хоёр шатлалт хамгаалалтын шинэчлэл"
- "Таны мессеж устах эрсдэлтэй тул яаралтай сэргээх шаардлагатай"
гэсэн агуулгатай байдаг.
Signal эвдэгдээгүй
FBI болон CISA нэг зүйлийг онцлон тэмдэглэжээ.
Энэ халдлага нь Signal-ийн шифрлэлт эсвэл програмын эмзэг байдлыг ашигладаггүй.
Харин:
- хэрэглэгчийг хуурах (Social Engineering),
- хууль ёсны боломжуудыг ашиглан бүртгэлд нэвтрэх
аргаар хэрэгждэг.
Өөрөөр хэлбэл шифрлэлт хэвээрээ найдвартай, харин хамгийн сул тал нь хэрэглэгч өөрөө болж байна.
10 сая ам.долларын шагнал
АНУ-ын Төрийн департаментын Rewards for Justice хөтөлбөрөөс UNC5792 бүлгийн талаар мэдээлэл өгсөн хүнд 10 сая ам.доллар хүртэлх шагнал олгохоор зарласан байна.
Өөр ямар байгууллагууд анхааруулсан бэ?
Энэ үйл ажиллагаатай холбоотой сэрэмжлүүлгийг мөн дараах байгууллагууд гаргаад байна.
- Нидерландын AIVD болон MIVD
- Германы BfV болон BSI
- Францын ANSSI
Мөн Google Threat Intelligence Group 2025 оны эхээр UNC5792 бүлэг Signal-ийн Linked Devices функцийг урвуулан ашиглаж байсныг анх баримтжуулсан бөгөөд ижил арга нь дараа нь WhatsApp болон Telegram руу өргөжсөн болохыг мэдээлжээ.
Иргэд юу хийх ёстой вэ?
✔️ Signal дотор ирсэн "Signal Support" гэх аливаа зурваст бүү итгэ.
✔️ Backup Recovery Key, SMS код, PIN-ээ ямар ч чат руу хэзээ ч бүү илгээ.
✔️ Settings → Linked Devices хэсгийг шалгаж, танихгүй төхөөрөмжүүдийг салга.
✔️ Хэрэв Recovery Key-гээ хэн нэгэнд өгсөн бол шинэ Recovery Key нэн даруй үүсгэж, өмнөх нөөц мэдээлэл алдагдсан гэж үзэн холбогдох арга хэмжээг ав.
Дүгнэлт
Өмнөх халдлагууд нэг удаагийн баталгаажуулах код хулгайлахад чиглэж байсан бол шинэ арга нь хэрэглэгчийн Backup Recovery Key-г олж авч, бүх мессежийн архивыг сэргээх боломжийг олгож байна. Энэ нь Signal-ийн шифрлэлийг эвдэж буй хэрэг биш, харин хэрэглэгчийг хуурч хууль ёсны боломжийг урвуулан ашиглаж буй нийгмийн инженерчлэлийн (Social Engineering) халдлага юм. Иймээс хэрэглэгчид өөрсдийн сэргээх түлхүүр, PIN болон баталгаажуулах кодыг бусдад огтхон ч дамжуулахгүй байх нь хамгийн чухал хамгаалалт хэвээр байна.
