По данным расследователей в сфере информационной безопасности, за масштабной кампанией по взлому аккаунтов в мессенджере Signal могут стоять российские хакеры, связанные с государственными структурами.
Иностранные политики, правительственные чиновники и журналисты из разных стран стали целями координированной кампании по захвату аккаунтов в Signal. Немецкая редакция‑расследователь сообщила, что цифровые улики указывают на участие российских хакеров, которых эксперты считают спонсируемыми государством.
Жертвам приходили сообщения от профиля с именем Signal Support, в которых утверждалось, что их учётные записи якобы находятся под угрозой. Пользователей просили ввести PIN‑код, присланный приложением. После передачи кода злоумышленники получали возможность перехватить аккаунт, просматривать список контактов и читать входящие сообщения.
Кроме того, атакуемым рассылали ссылки, оформленные как приглашения в канал WhatsApp, однако при переходе они перенаправляли пользователей на фишинговые сайты.
Среди пострадавших оказался бывший заместитель руководителя немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также о захвате аккаунта сообщал англо‑американский финансист и давний критик российского руководства Билл Браудер.
О попытках получить доступ к аккаунтам высокопоставленных лиц и военнослужащих в Signal и WhatsApp ранее информировала и разведывательная служба Нидерландов, связав кампанию с российскими спецслужбами. При этом конкретные технические доказательства публично не приводились. Похожее предупреждение опубликовало и ФБР США.
Руководство Signal заявило, что осведомлено о проблеме и относится к ней максимально серьёзно, подчеркнув при этом, что речь идёт не об уязвимости шифрования, а о социальной инженерии и фишинге.
Расследователи установили, что фишинговые сайты, на которые вели рассылаемые ссылки, размещались на серверах хостинг‑провайдера Aeza. Этот провайдер уже ранее фигурировал в материалах о российских пропагандистских и криминальных кампаниях, которые, по данным экспертов, курировались государственными структурами. На Aeza и её основателя введены санкции США и Великобритании.
Во фишинговые ресурсы был интегрирован специализированный инструмент «Дефишер». Его рекламировали на российских хакерских форумах ещё в 2024 году по цене около 690 долларов. По данным расследователей, разработчиком инструмента является молодой фрилансер из Москвы. Изначально «Дефишер» создавался для киберпреступников, но примерно год назад им начали активно пользоваться хакерские группы, которых специалисты относят к структурам, действующим в интересах российского государства.
Эксперты по кибербезопасности предполагают, что за текущей кампанией может стоять группировка UNC5792, ранее обвинявшаяся в аналогичных фишинговых операциях в ряде стран.
Годом ранее аналитики Google публиковали отчёт, в котором сообщалось, что UNC5792 рассылала фишинговые ссылки и одноразовые коды входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
