Иностранные политики, высокопоставленные чиновники и журналисты в разных странах столкнулись с масштабной кампанией по взлому аккаунтов в мессенджере Signal. Расследование немецкого издания Correctiv указывает на возможную причастность к атакам российских хакеров, предположительно работающих при поддержке государства.
По данным журналистов и экспертов по кибербезопасности, пользователям приходили сообщения от аккаунта с ником Signal Support. В этих сообщениях утверждалось, что профиль находится под угрозой, и предлагалось ввести PIN‑код, отправленный приложением. Введённый код позволял злоумышленникам перехватить контроль над учётной записью, получить доступ к контактам и читать входящие сообщения.
Кроме того, жертвам рассылали ссылки, замаскированные под приглашения в канал WhatsApp. На деле переход вёл на фишинговые сайты, созданные для кражи данных.
Среди пострадавших оказался бывший вице‑президент Федеральной разведывательной службы Германии (BND) Арндт Фрейтаг фон Лоринговен. Также о потере доступа к своему аккаунту сообщил англо‑американский инвестор и критик Кремля Билл Браудер.
О попытках захвата страниц высокопоставленных лиц и военнослужащих в Signal и WhatsApp ранее уведомляла и разведывательная служба Нидерландов. Там заявили, что видят связь кампании с российскими спецслужбами, хотя конкретные доказательства публично не привели. Похожее предупреждение опубликовало и ФБР США.
Разработчики Signal сообщили, что осведомлены о проблеме и относятся к ней максимально серьёзно. При этом компания подчёркивает, что речь идёт не о взломе системы шифрования, а о социальной инженерии и фишинге.
Correctiv установило, что сайты, на которые вели фишинговые ссылки, размещались на серверах хостинг‑провайдера Aeza. Этот провайдер ранее уже фигурировал в расследованиях, связанных с пропагандистскими и криминальными онлайн‑кампаниями, приписываемыми российской стороне. И сама компания, и её основатель находятся под санкциями США и Великобритании.
Во встроенных на эти сайты страницах использовался фишинговый инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах ещё в 2024 году по цене около 690 долларов. По данным Correctiv, разработчиком инструмента является молодой фрилансер из Москвы. Первоначально «Дефишер» создавался для использования киберпреступниками, но примерно год назад его начали интегрировать и хакерские группы, которые специалисты считают спонсируемыми государством.
Эксперты по кибербезопасности полагают, что за нынешней кампанией может стоять группировка UNC5792, ранее обвинявшаяся в похожих фишинговых операциях в других странах.
Примерно год назад аналитики Google публиковали исследование, в котором утверждалось, что UNC5792 рассылала украинским военнослужащим фишинговые ссылки и коды для входа в мессенджеры, также пытаясь получить доступ к их аккаунтам.
