Ein unerwarteter Angriff – und ein neuer Hinweis für die Sicherheit
Als Donncha Ó Cearbhaill, Leiter des Security Labs von Amnesty International, Anfang des Jahres eine täuschend echte Nachricht von einem angeblichen Signal‑Support‑Chatbot erhielt, war sofort klar: Dies war kein harmloser Hinweis, sondern ein raffinierter Phishing‑Versuch. Die Meldung warnte vor vermeintlichen Datenlecks und verlangte die Eingabe eines Verifizierungscodes, den niemand – nicht einmal Signal‑Mitarbeiter – kennen dürfe. Ó Cearbhaill erkannte die Gefahr, nutzte sie jedoch als Sprungbrett für eine tiefgehende Untersuchung.
Die Hintergründe des Täuschungsmanövers
Die Untersuchung ergab, dass die Nachricht Teil einer groß angelegten Kampagne war, die bereits tausende Nutzer von Signal ins Visier genommen hatte. Die Angreifer gaben sich als offizielle Signal‑Helfer aus, warnten vor fiktiven Sicherheitsrisiken und lockten die Opfer dazu, einem gefälschten Verifizierungsprozess zu folgen. Das Ziel: Die Kontrolle über das Nutzerkonto zu erlangen und es mit einem von den Hackern gemanagten Gerät zu verbinden.
Ein Netzwerk aus über 13 500 Opfern
Durch die Analyse von Metadaten und Chats stellte Ó Cearbhaill fest, dass er einer von mehr als 13 500 betroffenen Personen war. Zu den Opfern zählten Journalisten, politische Akteure und sogar Kollegen aus seinem eigenen Umfeld. Die Angreifer schienen nach einem Schneeballeffekt zu arbeiten: Sobald ein Nutzer kompromittiert wurde, nutzten sie dessen Kontaktliste, um weitere Ziele zu identifizieren und die Angriffsfläche zu vergrößern.
Das Werkzeug „ApocalypseZ“ – automatisierte Massenangriffe
Ein zentrales Ergebnis der Recherche war die Identifikation einer Bot‑Plattform namens „ApocalypseZ“. Dieses System automatisiert das Versenden von Phishing‑Nachrichten an Tausende von Empfängern, reduziert den manuellen Aufwand und erlaubt es den Angreifern, schnell neue Zielgruppen zu erschließen. Der Quellcode und die Steueroberfläche waren auf Russisch, und die Kommunikation der Hacker zeigte, dass sie die Chat‑Inhalte der Opfer ins Russische übersetzten – ein starkes Indiz für die Verknüpfung mit einer russischen Regierungsgruppe.
Warnungen aus dem Ausland und die Rolle von Signal
Mehrere staatliche Stellen, darunter das US‑CISA, das britische NCSC und der niederländische Geheimdienst, hatten bereits vor ähnlichen Kampagnen gewarnt und diese den russischen Behörden zuschrieben. Auch Signal selbst hatte Phishing‑Versuche gegen seine Nutzer gemeldet. Die Enthüllungen von Ó Cearbhaill ergänzen diese Warnungen um konkrete Zahlen und eine klare Beschreibung der eingesetzten Infrastruktur.
Ausblick und offene Fragen
Obwohl Ó Cearbhaill glaubt, dass er künftig nicht mehr ins Visier der Angreifer geraten wird, bleibt die Bedrohung für die gesamte Signal‑Community bestehen. Er beobachtet die Kampagne weiterhin und vermutet, dass die tatsächliche Opferzahl weit über die bislang bekannten Zahlen hinausgeht. Sein Appell an potenzielle Angreifer: „Ich freue mich über Nachrichten, besonders wenn sie Zero‑Days enthalten“, verdeutlicht die Gratwanderung zwischen Forschung und persönlicher Sicherheit.