Иностранные политики, государственные чиновники и журналисты в разных странах столкнулись с масштабной кампанией по захвату аккаунтов в мессенджере Signal. Цифровые улики в расследованиях зарубежных СМИ и специалистов по кибербезопасности указывают на возможную причастность российских хакеров, предположительно работающих при поддержке государства.
По данным расследователей, пользователи получали сообщения от профиля с ником Signal Support. В этих сообщениях утверждалось, что учетная запись якобы находится под угрозой, и предлагалось ввести PIN‑код, отправленный приложением. После ввода кода злоумышленники получали доступ к аккаунту, могли просматривать контакты и читать входящие сообщения.
Кроме того, жертвам рассылались ссылки, оформленные как приглашения в каналы WhatsApp. На деле они перенаправляли пользователей на фишинговые сайты, созданные для кражи данных и перехвата доступа к мессенджерам.
Среди пострадавших оказался бывший вице‑президент немецкой внешней разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также свой аккаунт потерял англо‑американский финансист и критик российских властей Билл Браудер, о чем он сообщал в социальных сетях.
О попытках захвата аккаунтов высокопоставленных лиц и военнослужащих в Signal и WhatsApp ранее информировала и разведывательная служба Нидерландов. Там связывали киберкампанию с российскими спецслужбами, однако публичных технических доказательств не приводили. Похожее предупреждение публиковало и Федеральное бюро расследований США.
Представители Signal заявили, что знают о фишинговых атаках и относятся к ним максимально серьезно. При этом в компании подчеркнули, что проблема не связана с уязвимостью шифрования или протокола безопасности мессенджера: злоумышленники эксплуатируют доверие пользователей к службе поддержки и механизмы восстановления доступа.
Журналистам и экспертам по кибербезопасности удалось установить, что фишинговые сайты, на которые вели рассылки, размещались на серверах хостинг‑провайдера Aeza. Этот провайдер уже ранее фигурировал в расследованиях о государственных пропагандистских и преступных кампаниях, связанных с Россией. И сама компания, и ее основатель находятся под санкциями США и Великобритании.
Во вредоносные веб‑страницы был встроен фишинговый инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным расследователей, создателем инструмента является молодой фрилансер из Москвы. Изначально «Дефишер» предлагался киберпреступникам как коммерческий продукт, однако примерно год назад этот инструмент начали активно интегрировать в операции предполагаемых государственных хакерских групп, что подтверждают эксперты по информационной безопасности.
Специалисты по IT‑безопасности полагают, что за нынешней кампанией может стоять хакерская группировка UNC5792, ранее обвинявшаяся в аналогичных фишинговых операциях в других странах.
Примерно год назад аналитики Google публиковали отчет, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах и конфиденциальной переписке.
