Gli Stati Uniti hanno messo sul tavolo una ricompensa fino a 10 milioni di dollari per ottenere informazioni che portino all’identificazione o alla localizzazione dei responsabili di una campagna di compromissione contro account Signal e WhatsApp. Nel mirino sono finiti migliaia di profili appartenenti a reporter investigativi, dipendenti del governo statunitense e altre figure considerate di alto valore informativo.
L’iniziativa è stata annunciata dal Dipartimento di Stato attraverso il programma Rewards for Justice, noto anche come RFJ. La richiesta riguarda in particolare due gruppi tracciati come UNC5792 e UNC4221, associati rispettivamente al Servizio federale di sicurezza russo e ad attori che opererebbero per conto dei servizi militari russi.
La campagna è attiva almeno da marzo, quando l’FBI aveva avvertito dell’esistenza di operazioni di phishing rivolte a bersagli di alto profilo e collegate all’intelligence russa. I messaggi si presentano come comunicazioni automatiche di supporto e spingono le vittime a cliccare su un link, fornire codici di verifica o inserire passcode dell’account.
Quando l’utente segue le istruzioni, l’attaccante può collegare un proprio dispositivo all’account della vittima oppure prenderne il controllo completo, fino a bloccarne l’accesso. In quel momento gli aggressori possono leggere i nuovi messaggi inviati all’account compromesso. Nel caso di Signal, una funzione di sicurezza impedisce però l’accesso alle conversazioni precedenti, almeno finché la vittima non consegna anche le chiavi necessarie ai backup.
L’evoluzione più recente della campagna riguarda proprio i backup cifrati. I messaggi fraudolenti invitano gli utenti a creare una copia delle comunicazioni passate e, in un secondo momento, chiedono di inviare il lungo codice usato per proteggere i backup conservati sui server di Signal. Se la vittima lo fornisce, gli aggressori possono accedere anche alla cronologia delle conversazioni precedenti, ampliando il danno ben oltre la semplice sorveglianza dei messaggi futuri.
Il programma RFJ indica inoltre che, in alcuni casi, gli attori di UNC5792 avrebbero modificato pagine legittime di invito ai gruppi per reindirizzare gli utenti verso URL malevoli. Il meccanismo sfrutta una funzione esistente di Signal, cioè la creazione di link per invitare altre persone a conversazioni di gruppo, ma non implica una vulnerabilità nelle protezioni di crittografia end-to-end delle piattaforme.
Il bersaglio non è casuale: tra i destinatari figurano funzionari governativi attuali ed ex funzionari statunitensi, personale militare, figure politiche, giornalisti e personale alleato. La logica operativa è quella classica del phishing: costruire urgenza, imitare un canale affidabile e indurre la vittima a compiere un’azione rapida. Anche senza tecniche particolarmente sofisticate, un singolo momento di stanchezza o distrazione può bastare per consegnare l’accesso a comunicazioni sensibili.
L’FBI ha indicato una mitigazione specifica per chi avesse fornito la chiave di recupero del backup: generare una nuova Backup Recovery Key dalle impostazioni, così da invalidare la precedente per i download futuri. Questa misura, però, non cancella il rischio che l’attore abbia già scaricato una copia del backup originale. Per organizzazioni, redazioni e amministrazioni pubbliche, il caso conferma che la sicurezza delle comunicazioni non dipende solo dalla cifratura delle piattaforme, ma anche dalla capacità degli utenti di riconoscere richieste costruite per sembrare legittime e urgenti.