Иностранные политики, сотрудники государственных ведомств и журналисты в разных странах стали жертвами масштабной кампании по захвату аккаунтов в мессенджере Signal. Расследование международных журналистов и специалистов по кибербезопасности указывает на возможную причастность к операции российских хакеров, которых связывают с государственными структурами.
По данным расследователей, пользователям приходили сообщения от профиля с ником Signal Support. В них утверждалось, что их учетная запись находится под угрозой, и предлагалось ввести PIN‑код, якобы отправленный самим приложением. После ввода кода злоумышленники могли перехватить аккаунт, получить доступ к списку контактов и читать входящие сообщения.
Кроме того, жертвам рассылали ссылки, маскирующиеся под приглашения в канал WhatsApp, которые на самом деле вели на фишинговые сайты.
Среди пострадавших фигурируют высокопоставленные лица. Один из наиболее известных случаев — взлом аккаунта бывшего вице‑президента Федеральной разведывательной службы Германии (BND) Арндта Фрейтага фон Лоринговена. Также о потере своего аккаунта сообщил англо‑американский финансист и давний критик российских властей Билл Браудер.
О попытках завладеть аккаунтами высокопоставленных представителей госструктур и военных в Signal и WhatsApp ранее информировала и разведывательная служба Нидерландов. Там связывали кампанию с российскими спецслужбами, однако прямых доказательств не приводили. Похожее предупреждение публиковало и ФБР США, указывая на интерес российских структур к коммерческим мессенджерам.
Представители Signal заявили, что осведомлены о проблеме и относятся к ней максимально серьезно. При этом компания подчеркнула, что речь не идет о взломе системы шифрования: атаку проводят с помощью социальной инженерии и перехвата кодов подтверждения, а не путем взлома криптографических алгоритмов.
Журналисты и эксперты по кибербезопасности установили, что фишинговые сайты, на которые вели вредоносные ссылки, размещались на серверах хостинг‑провайдера Aeza. Этот провайдер уже фигурировал в расследованиях как платформа, которую использовали для проведения пропагандистских и преступных кампаний, приписываемых структурам, связанным с российским государством. И сама компания, и ее основатель находятся под санкциями США и Великобритании.
Во вредоносные сайты был встроен фишинговый инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным расследователей, разработчиком инструмента является молодой фрилансер из Москвы. Изначально «Дефишер» создавался как продукт для киберпреступников, однако примерно год назад этот инструмент начали использовать и группы, которых эксперты считают спонсируемыми государством российскими хакерами.
Эксперты по информационной безопасности полагают, что за нынешней кампанией может стоять хакерская группировка UNC5792, которую ранее обвиняли в проведении аналогичных фишинговых операций в ряде стран.
Ранее аналитики Google публиковали исследование, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и одноразовые коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
