Иностранные политики, государственные чиновники и журналисты в разных странах стали жертвами масштабной кампании по взлому аккаунтов в мессенджере Signal. Цифровые улики, собранные расследователями и специалистами по кибербезопасности, указывают на возможное участие российских хакеров, предположительно действующих при поддержке государства.
По данным расследования, пользователи получали сообщения от профиля с именем Signal Support. В этих сообщениях утверждалось, что их учётная запись якобы находится под угрозой, и предлагалось ввести PIN‑код, отправленный приложением. После передачи кода злоумышленники получали контроль над аккаунтом, могли просматривать список контактов и читать входящие сообщения.
Кроме того, жертвам рассылались ссылки, замаскированные под приглашения в канал WhatsApp. На самом деле эти ссылки вели на фишинговые сайты, созданные для хищения данных и перехвата доступа к аккаунтам.
Среди пострадавших оказался бывший заместитель главы Федеральной разведывательной службы Германии (BND) Арндт Фрейтаг фон Лоринговен. Также о потере доступа к своему аккаунту сообщил англо‑американский инвестор и известный критик российских властей Билл Браудер.
О попытках получить доступ к учетным записям высокопоставленных лиц и военных в Signal и WhatsApp также информировала разведывательная служба Нидерландов. Там заявили, что связывают происходящее с деятельностью российских спецслужб, однако конкретные технические доказательства публично не представили. Похожее предупреждение выпустило и американское ФБР, также указав на возможную причастность российских структур.
Представители Signal сообщили, что знают о происходящих атаках и относятся к ситуации максимально серьёзно. При этом в компании подчёркивают: речь идёт не о взломе шифрования мессенджера, а о социальной инженерии и фишинге, когда пользователи сами передают злоумышленникам коды доступа.
Расследователям удалось установить, что фишинговые сайты, на которые вели рассылки, были размещены на серверах хостинг‑провайдера Aeza. Этот провайдер ранее уже фигурировал в историях о кибероперациях и пропагандистских кампаниях, которые приписывали российским государственным структурам. В настоящее время Aeza и её основатель находятся под санкциями США и Великобритании.
Во вредоносные сайты был встроен фишинговый инструмент под названием «Дефишер». По данным киберэкспертов, этот инструмент рекламировался на русскоязычных хакерских форумах ещё в 2024 году по цене около 690 долларов. Его разработчиком называют молодого фрилансера из Москвы. Изначально «Дефишер» предлагался обычным киберпреступникам, однако примерно год назад им стали пользоваться и хакерские группы, которые, по оценкам специалистов, работают на государственные структуры.
По мнению экспертов в области информационной безопасности, за текущей кампанией может стоять группировка UNC5792, которую ранее уже обвиняли в аналогичных фишинговых операциях против пользователей в других странах.
Год назад аналитики Google публиковали доклад, в котором утверждали, что UNC5792 рассылала фишинговые ссылки и одноразовые коды украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
