Иностранные политики, правительственные чиновники и журналисты в разных странах стали жертвами масштабной кампании по взлому аккаунтов в мессенджере Signal. Цифровые улики, собранные специалистами по кибербезопасности, указывают на возможную причастность спонсируемых государством российских хакерских групп.
Пострадавшие пользователи получали сообщения от профиля с именем Signal Support. В них утверждалось, что их учетная запись якобы находится под угрозой, и предлагалось ввести PIN‑код, отправленный приложением. После ввода кода злоумышленники получали контроль над аккаунтом, могли просматривать контакты и читать входящие сообщения.
Кроме того, жертвам рассылали ссылки, выглядевшие как приглашение в канал WhatsApp, однако на деле они вели на фишинговые веб‑сайты.
Среди тех, кто пострадал от этой кампании, оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также о потере доступа к своему аккаунту заявлял англо‑американский финансист и критик российских властей Билл Браудер.
О попытках завладеть страницами высокопоставленных должностных лиц и военнослужащих в Signal и WhatsApp ранее сообщала и разведывательная служба Нидерландов, которая связала кампанию с российскими спецслужбами, не представив при этом публичных доказательств. Аналогичное предупреждение публиковало и американское ФБР.
Представители Signal заявляют, что осведомлены о проводящейся атаке и относятся к ней очень серьезно, при этом подчеркивая, что проблема не связана с уязвимостью шифрования в самом мессенджере.
Выяснилось, что сайты, на которые вели вредоносные ссылки, размещались на серверах хостинг‑провайдера Aeza. Эта компания ранее уже фигурировала в контексте киберопераций и информационных кампаний, связанных с российскими государственными структурами. Сам хостинг и его основатель находятся под санкциями США и Великобритании.
Во фишинговые сайты был встроен инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным специалистов, разработчиком инструмента является молодой фрилансер из Москвы. Первоначально «Дефишер» предлагался киберпреступникам, но около года назад им стали активно пользоваться и группы, которые связывают с государственными структурами России.
Эксперты по информационной безопасности полагают, что за нынешней кампанией может стоять группировка UNC5792, ранее обвинявшаяся в организации аналогичных фишинговых операций в ряде стран.
Год назад аналитики Google публиковали отчет, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
