FBI & CISA: Peretas Rusia Sasar “Backup Recovery Key” Signal untuk Curi Riwayat Pesan Korban

Badan Investigasi Federal AS (FBI) bersama Badan Keamanan Siber dan Infrastruktur (CISA) resmi menerbitkan pembaruan peringatan keamanan (Public Service Announcement) darurat. Laporan ini mengungkap bahwa kampanye phishing besutan dinas intelijen Rusia yang mengincar pengguna aplikasi pesan terenkripsi Signal kini telah berevolusi secara radikal untuk mencuri Kunci Pemulihan Cadangan (Backup Recovery Key).

Dengan menguasai kunci pemulihan tersebut, para peretas dapat mengunduh dan mendekripsi seluruh riwayat pesan masa lalu (historical messages) milik korban, baik obrolan pribadi maupun grup, langsung ke perangkat milik peretas.

Siapa Saja Targetnya?

Berdasarkan investigasi FBI, kampanye siber ini menyasar individu dengan nilai intelijen tinggi (high intelligence value), yang meliputi:

• Pejabat serta mantan pejabat pemerintah Amerika Serikat dan internasional.
• Personel militer dan tokoh politik.
• Jurnalis/wartawan senior.
• Pejabat-pejabat penting yang berlokasi di Ukraina.

Agensi siber Barat mengatribusikan aktivitas berbahaya ini kepada Dinas Intelijen Rusia (RIS), termasuk para perwira siber yang tertanam di dalam Dinas Keamanan Federal Rusia (FSB) Border Guards serta aktor militer Rusia lainnya. Di komunitas intelijen, kampanye ini dilacak secara publik dengan nama sandi UNC5792 dan UNC4221. Bahkan, Departemen Luar Negeri AS melalui program Rewards for Justice kini menawarkan hadiah hingga $10 juta bagi siapa saja yang memiliki informasi valid terkait kelompok UNC5792 ini.

Evolusi Taktik: Memanfaatkan Fitur “Secure Backups” Milik Signal

Pada gelombang serangan awal di Maret 2026, peretas Rusia hanya fokus mencuri kode verifikasi SMS, PIN akun, atau menjebak korban agar menautkan perangkat peretas (linked devices) menggunakan tautan undangan grup palsu. Namun, taktik baru yang terdeteksi di akhir Juni 2026 ini berjalan jauh lebih rapi melalui rekayasa sosial (social engineering) dua tahap:

Tahap 1: Menggiring Korban Mengaktifkan Backup

Peretas mengirimkan pesan di dalam aplikasi dengan menyamar sebagai akun robot dukungan otomatis resmi (Signal Support). Pesan tersebut mengeklaim bahwa Signal tengah memperbarui Ketentuan Layanan dan menerapkan Verifikasi Dua Faktor Wajib menyusul adanya gelombang serangan siber fiktif dari peretas Iran dan negara-negara pasca-Soviet.

Korban kemudian diberikan panduan langkah demi langkah untuk mengaktifkan fitur pencadangan resmi Signal (Secure Backups) melalui menu Settings dan diminta untuk menyalin 64-karakter Backup Recovery Key yang muncul ke papan klip (clipboard) perangkat mereka.

Tahap 2: Memancing Kunci Pemulihan Keluar

Beberapa saat kemudian, akun dukungan palsu tersebut mengirimkan pesan kedua dengan peringatan darurat: “Data Akun Signal Anda (pesan dan media) berisiko hilang permanen akibat adanya masalah sinkronisasi sistem (sync issue).”

Untuk mencegah kehilangan data tersebut, peretas menginstruksikan korban untuk menempelkan (paste) kode 64-karakter Backup Recovery Key yang sudah mereka salin sebelumnya langsung ke dalam kolom obrolan chat tersebut. Begitu korban mengirimkan kode tersebut, enkripsi ujung-ke-ujung (end-to-end encryption) pada file cadangan di cloud OpenAI/Signal otomatis runtuh di tangan peretas.

Peringatan Kritis: Membuat Akun Baru Tidak Membatalkan Kunci yang Dicuri

FBI dan CISA memberikan catatan teknis yang sangat krusial bagi para pengguna yang mencurigai akun mereka telah disusupi. Apabila peretas sudah terlanjur mendapatkan Backup Recovery Key lama Anda, tindakan menghapus aplikasi atau membuat akun Signal baru menggunakan nomor telepon yang sama TIDAK AKAN membatalkan validitas kunci yang dipegang peretas. Peretas tetap bisa mengunduh file cadangan masa lalu Anda.

Satu-satunya langkah penanganan yang valid adalah:

1. Buat Kunci Baru: Pengguna wajib masuk ke menu pengaturan cadangan (Backup Settings) di dalam aplikasi Signal dan menekan opsi untuk menghasilkan Kunci Pemulihan Cadangan yang baru (Generate a new Backup Recovery Key). Langkah ini secara otomatis akan memutus hak akses dan membatalkan validitas kunci lama yang dipegang peretas untuk mengunduh cadangan di masa mendatang.
2. Kompensasi Kebocoran: Perlu diingat, pembuatan kunci baru ini tidak bisa menarik kembali atau menghapus file arsip pesan yang sudah sempat diunduh oleh peretas sebelum kunci tersebut diganti.

Edukasi Keamanan Publik

Sebagai penutup, CISA dan FBI mengingatkan seluruh masyarakat bahwa tim dukungan teknis dari aplikasi pesan komersial sah mana pun (baik Signal, WhatsApp, maupun Telegram) hanya akan berkomunikasi melalui alamat email resmi perusahaan, tidak akan pernah mengirimkan pesan pribadi (direct message) di dalam aplikasi untuk meminta kode verifikasi, nomor PIN, ataupun kunci pemulihan cadangan Anda.

Setiap pesan masuk yang mengatasnamakan tim pengembang dan meminta data sensitif tersebut harus langsung dikategorikan sebagai serangan siber berbahaya.