FBI-Warnung: Russischer Geheimdienst sieht es auf Messenger-Backup-Keys ab

Die US-amerikanischen Sicherheitsbehörden FBI und CISA haben ihre gemeinsame Warnung vor Angriffen vom russischen Geheimdienst auf Messenger-Konten von hohen Beamten und Politikern aktualisiert. Die Masche setze weiterhin auf angebliche Support-Nachrichten der genutzten Plattform. Jetzt sind jedoch die Wiederherstellungsschlüssel für Backups im Visier der Angreifer.

Die IT-Sicherheitsbehörde CISA kündigt das gemeinsam mit dem FBI erstellte Dokument an. In der öffentlichen Bekanntmachung schreiben die Behörden, dass sie mehrere Cluster russischer Geheimdienste ausgemacht haben, die weiterhin für Phishing-Kampagnen auf kommerzielle Messenger-Anbieter gegen für Spionage interessante Individuen verantwortlich sind. Angriffe laufen auf ehemalige und aktuelle internationale und US-Regierungsbeamte, Militärpersonal, politische Persönlichkeiten, Journalisten und Schlüsselpersonen in der Ukraine.

Konten unterwandert, aber nicht die Messenger-Apps und -Plattformen

Dabei haben die Geheimdienstler individuelle Messenger-Konten kompromittiert, nicht jedoch die Plattformen oder die Anwendungen selbst, erklären die Behörden. Die Angreifer geben sich weiterhin als automatische Support-Konten in den neueren Phishing-Kampagnen aus, haben es nun jedoch auf die Wiederherstellungsschlüssel für Backups abgesehen. Zudem versuchen sie weiterhin, an die Bestätigungscodes und Konto-PINs ihrer Opfer zu gelangen.

Sofern Opfer ihren Backup-Wiederherstellungsschlüssel an die Angreifer gesendet haben, bleibt der auch dann gültig, wenn sie nach der Kompromittierung ein neues Konto mit derselben Telefonnummer einrichten. Dadurch können die Angreifer auch das neu angelegte Konto übernehmen. Um das zu verhindern, müssen Betroffene in den Einstellungen einen neuen Backup-Wiederherstellungsschlüssel erzeugen. Das invalidiere den vorherigen Key für künftige Backup-Downloads. Das schützt jedoch nicht davor, dass Angreifer bereits ein Backup aus dem originalen Konto heruntergeladen haben können.

Die CISA betont, dass die Kampagnen der Angreifer in unbefugte Zugriffe auf tausende individuelle Messenger-Konten mündeten. Dabei haben sie die Nachrichten und Kontaktlisten der Opfer eingesehen, Nachrichten geschickt und weitere Phishing-Angriffe gegen weitere Messenger-Konten gestartet.

Auch deutsche Politikerinnen und Politiker waren und sind Ziel solcher Angriffe. Etwa Bundestagspräsidentin Julia Klöckner wurde Opfer solch eines Angriffs, wie im April bekannt wurde.

(dmk)