🛡️ Executive Summary
- Gruppi collegati ai servizi d’intelligence russi utilizzano phishing su Signal per sottrarre le Backup Recovery Key degli utenti di alto profilo.
- Il furto della chiave consente il ripristino dei backup e l’accesso ai messaggi storici senza compromettere la crittografia end-to-end dell’app.
- FBI e CISA raccomandano di non condividere mai la chiave di recupero, rigenerarla in caso di sospetta compromissione e segnalare gli incidenti alle autorità.
L’FBI e la CISA hanno diffuso un nuovo Public Service Announcement per mettere in guardia gli utenti di Signal da una campagna di phishing altamente mirata attribuita a gruppi legati ai servizi di intelligence russi. L’operazione non sfrutta vulnerabilità dell’applicazione né compromette la crittografia end-to-end, ma prende di mira uno degli elementi più sensibili dell’intero sistema di backup: la Backup Recovery Key. Attraverso sofisticate tecniche di ingegneria sociale, gli aggressori convincono le vittime a consegnare volontariamente la chiave necessaria per ripristinare i backup crittografati, ottenendo così accesso ai messaggi archiviati. Secondo le autorità statunitensi, la campagna interessa soprattutto obiettivi di elevato valore strategico, tra cui funzionari governativi, personale militare, giornalisti, figure politiche e rappresentanti istituzionali coinvolti nel conflitto ucraino, confermando ancora una volta come il fattore umano continui a rappresentare uno dei principali punti deboli anche nelle piattaforme di comunicazione più sicure.
Cosa leggere
FBI e CISA attribuiscono la campagna a gruppi collegati ai servizi russi
Nel comunicato pubblicato il 26 giugno 2026, le autorità statunitensi identificano gli attori della minaccia come UNC5792 e UNC4221, gruppi già associati ad attività riconducibili al Federal Security Service (FSB) russo e ad altri elementi dell’intelligence militare di Mosca. L’operazione appare fortemente selettiva e non è rivolta agli utenti comuni, ma a persone considerate di interesse strategico per le attività di raccolta informativa. Tra i bersagli figurano funzionari governativi statunitensi e internazionali, ex rappresentanti delle istituzioni, personale delle forze armate, esponenti politici, giornalisti investigativi e funzionari ucraini coinvolti nella gestione della guerra. La scelta degli obiettivi suggerisce una campagna di cyber spionaggio piuttosto che un’operazione finalizzata al profitto economico, confermando il crescente utilizzo delle piattaforme di messaggistica cifrata come fonte privilegiata di intelligence da parte degli attori statali.
Gli attaccanti sfruttano Signal senza violarne la crittografia
Uno degli aspetti più significativi evidenziati dall’FBI riguarda il fatto che Signal non presenta vulnerabilità tecniche sfruttate dagli aggressori. La crittografia end-to-end dell’applicazione rimane integra e non viene aggirata attraverso exploit software o compromissioni dei server. Gli attaccanti costruiscono invece un’operazione di social engineering direttamente all’interno dell’applicazione, sfruttando la fiducia che gli utenti ripongono nel marchio Signal e nella comunicazione ricevuta tramite la stessa piattaforma. Fingendosi operatori del supporto tecnico, inviano messaggi che fanno riferimento all’introduzione della verifica in due passaggi obbligatoria, collegandola a presunte minacce provenienti da hacker iraniani e da gruppi operanti nell’area post-sovietica. L’utilizzo di riferimenti ad eventi reali e ad aggiornamenti di sicurezza rende la campagna particolarmente credibile e aumenta la probabilità che le vittime seguano le istruzioni ricevute.
Il phishing punta direttamente alla Backup Recovery Key
La tecnica descritta dalle autorità si sviluppa attraverso una sequenza di messaggi accuratamente costruita. In una prima fase gli aggressori convincono la vittima ad attivare il sistema di backup di Signal, guidandola nella generazione della Backup Recovery Key, la chiave crittografica necessaria per ripristinare i messaggi su un nuovo dispositivo. Successivamente inviano un secondo messaggio, sempre fingendosi il supporto ufficiale dell’applicazione, nel quale sostengono che si sia verificato un problema di sincronizzazione e chiedono all’utente di incollare la chiave di recupero all’interno della conversazione per completare la procedura. Una volta ottenuta la Backup Recovery Key, gli aggressori possono utilizzare tale informazione per ripristinare il backup dell’account su dispositivi sotto il loro controllo, accedendo così all’intero archivio delle conversazioni memorizzate senza dover compromettere direttamente l’account della vittima.
Il furto della chiave consente l’accesso ai messaggi storici
La Backup Recovery Key rappresenta uno degli elementi più sensibili dell’ecosistema Signal perché costituisce l’unico strumento necessario per decifrare i backup crittografati archiviati dall’utente. Una volta ottenuta, gli aggressori possono recuperare le conversazioni storiche presenti nel backup, comprese chat individuali, gruppi, allegati e altri contenuti conservati localmente. L’FBI evidenzia inoltre un dettaglio particolarmente importante: la validità della chiave rimane associata ai backup già creati anche se l’utente decide successivamente di registrare un nuovo account utilizzando lo stesso numero telefonico. Questo significa che il materiale già acquisito dagli attaccanti continua a essere accessibile anche dopo eventuali modifiche dell’account, ampliando notevolmente l’impatto dell’incidente e rendendo il furto della chiave un evento estremamente critico dal punto di vista della riservatezza delle comunicazioni.
Rigenerare la chiave non elimina i backup già compromessi
L’aggiornamento dell’allerta diffusa a marzo 2026 chiarisce anche un aspetto spesso frainteso dagli utenti. La generazione di una nuova Backup Recovery Key invalida esclusivamente i backup che verranno creati successivamente, ma non impedisce agli aggressori di consultare le copie già scaricate utilizzando la chiave precedente. In altre parole, una volta che un backup è stato recuperato con successo dall’attaccante, la semplice rotazione della chiave non può revocare retroattivamente l’accesso ai dati già sottratti. Questa caratteristica rende ancora più importante intervenire tempestivamente ai primi segnali di compromissione e sottolinea come la protezione della chiave di recupero debba essere considerata allo stesso livello della tutela delle credenziali di autenticazione o dei codici di verifica a due fattori.
FBI e CISA indicano le misure di mitigazione
Le autorità statunitensi hanno pubblicato una serie di raccomandazioni operative rivolte agli utenti di Signal e delle altre piattaforme di messaggistica sicura. La prima indicazione consiste nel non condividere mai la Backup Recovery Key con nessun interlocutore, indipendentemente dall’identità dichiarata. L’FBI ricorda che il supporto ufficiale di Signal non richiede mai PIN, codici di verifica o chiavi di recupero attraverso chat interne all’applicazione. In presenza di qualsiasi sospetto, gli utenti dovrebbero generare immediatamente una nuova chiave dalle impostazioni dell’applicazione, così da invalidare la precedente per tutti i backup futuri. Le autorità invitano inoltre a segnalare ogni tentativo di phishing all’Internet Crime Complaint Center (IC3) dell’FBI o agli organismi nazionali competenti, contribuendo così all’identificazione delle campagne in corso e alla protezione di altri potenziali bersagli.
La sicurezza delle applicazioni dipende sempre più dagli utenti
La campagna documentata dall’FBI dimostra come le moderne operazioni di cyber spionaggio si concentrino sempre più sull’elemento umano anziché sulle vulnerabilità software. Invece di tentare di compromettere la robusta architettura crittografica di Signal, gli operatori collegati ai servizi russi hanno scelto di manipolare direttamente gli utenti attraverso tecniche di ingegneria sociale estremamente credibili. La diffusione delle funzioni di backup crittografato introduce nuovi elementi di sicurezza, ma anche nuove responsabilità nella gestione delle chiavi di recupero, che diventano a tutti gli effetti credenziali ad altissima sensibilità. L’episodio conferma che la protezione delle comunicazioni non dipende esclusivamente dalla qualità degli algoritmi crittografici, ma anche dalla capacità degli utenti di riconoscere tentativi di phishing sempre più sofisticati e costruiti sfruttando aggiornamenti, notifiche e procedure realmente adottate dalle piattaforme di messaggistica.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
