رفع مكتب التحقيقات الفيدرالي الأمريكي (FBI) ووكالة الأمن السيبراني وأمن البنية التحتية (CISA) مستوى تحذيراتهما من حملة تجسّس روسية نشطة تستهدف مستخدمي تطبيق المراسلة المشفّرة سيغنال (Signal)، مكشوفَيْن عن أسلوب هجومي أكثر خطورة مما رُصد في مارس الماضي: انتزاع مفاتيح استعادة النسخ الاحتياطية (Backup Recovery Keys) مباشرةً من الضحايا.
من وراء الحملة؟
يُحدّد التحذير المحدّث، الصادر تحت الرمز PSA I-062626-PSA، مجموعتَي التتبع UNC5792 وUNC4221 بوصفهما المشغّلَين الرئيسيَّين، في حين يربط FBI هذه الأنشطة بجهات متعددة تابعة لخدمات الاستخبارات الروسية (RIS)، من بينها ضباط في جهاز الأمن الفيدرالي الروسي (FSB) المُدمَجون مع حرس الحدود، وآخرون يعملون لصالح أجهزة الاستخبارات العسكرية الروسية. وقد أشارت وكالة Google لاستخبارات التهديدات إلى أن مجموعة UNC5792 كانت توثّق سوء استخدامها لميزة ربط الأجهزة في سيغنال منذ مطلع عام 2025، قبل أن تتوسّع الحملة لتطال تطبيقَي واتساب (WhatsApp) وتيليغرام (Telegram).
يستهدف المهاجمون شخصيات ذات قيمة استخباراتية عالية: مسؤولون حكوميون أمريكيون ودوليون حاليون وسابقون، وعسكريون، وسياسيون، وصحفيون، فضلاً عن مسؤولين في أوكرانيا. وكانت التحذيرات الأولى في مارس قد كشفت أن الحملة أفضت إلى اختراق آلاف الحسابات حول العالم.
الأسلوب الجديد: مفتاح يفتح الأرشيف بأكمله
بدأت الموجات الأولى من الحملة باستدراج ضحاياها لانتزاع رموز التحقق عبر الرسائل القصيرة (SMS) وأرقام التعريف الشخصية (PIN)، أو عبر روابط دعوات جماعية مزوّرة تربط جهاز المهاجم بالحساب المستهدف بصمت تام.
أما الأسلوب المستحدث، فيقوم على رسائل داخل التطبيق تنتحل صفة دعم سيغنال الرسمي، وتطلب من الضحية تفعيل خاصية النسخ الاحتياطي، ثم فتح مفتاح الاستعادة ولصقه في المحادثة. يستخدم المهاجمون سيناريوهَيْن رئيسيَّيْن: الأول يُقنع الضحية بأن ما يحدث هو تطبيق إلزامي لميزة المصادقة الثنائية (Two-Factor Authentication)، والثاني يُوهمها بوجود خطر وشيك على رسائلها يستوجب إجراء «استعادة بيانات» عاجلة.
الخطورة الكبرى تكمن في أن هذا المفتاح لا يصلح لفتح النسخة الاحتياطية الراهنة فحسب، بل يبقى فعّالاً حتى لو أنشأ المستخدم حساباً جديداً على الرقم ذاته، مما يمنح المهاجم وصولاً مديداً لا تنتهي صلاحيته بتغيير الحساب.
الجدير بالذكر أن هذه الاختراقات لا تمسّ تشفير سيغنال ذاته؛ فالتطبيق يعمل كما ينبغي، والنقطة الضعيفة هي الحساب والإنسان الذي يمتلكه، لا البروتوكول التشفيري.
استجابة دولية وجائزة مالية
لا تقتصر التحذيرات على الجانب الأمريكي؛ إذ أصدر كلٌّ من جهازَي الاستخبارات الهولنديَّيْن (AIVD وMIVD)، والوكالة الفيدرالية الألمانية لأمن المعلومات (BSI) ونظيرتها لحماية الدستور (BfV)، والوكالة الوطنية الفرنسية لأمن نظم المعلومات (ANSSI)، تحذيرات مماثلة في وقت سابق من العام الجاري. وعلى الصعيد المالي، أعلن برنامج «مكافآت من أجل العدالة» التابع لوزارة الخارجية الأمريكية عن مكافأة تبلغ 10 ملايين دولار لمن يُدلي بمعلومات عن مجموعة UNC5792.
توصيات
- **لا تثق بأي رسالة دعم داخل التطبيق**: دعم سيغنال الحقيقي لا يتواصل معك عبر المحادثات ولا يطلب رموزاً أو مفاتيح.
- **لا تشارك مفتاح الاستعادة أبداً**: أي طلب من هذا النوع، بصرف النظر عن مصدره الظاهر، يجب معاملته كتهديد.
- **افحص الأجهزة المرتبطة**: اذهب إلى الإعدادات وتحقق من قائمة الأجهزة المرتبطة (Linked Devices) وأزِل أي جهاز لا تعرفه.
- **ولّد مفتاحاً جديداً فوراً** إن كنت قد كشفت مفتاحك القديم لأي طرف؛ فتوليد مفتاح جديد يُلغي القديم ويقطع إمكانية تنزيل النسخ الاحتياطية مستقبلاً، وإن كانت البيانات التي سحبها المهاجم مسبقاً تبقى في حوزته.
