Иностранные политики, высокопоставленные госслужащие и журналисты из разных стран стали жертвами масштабной кампании по взлому аккаунтов в мессенджере Signal. Расследование немецкого издания Correctiv выявило цифровые улики, указывающие на участие спонсируемых государством российских хакеров.
Жертвы получали сообщения от профиля с ником Signal Support. В письмах утверждалось, что их учетная запись якобы находится под угрозой, и для защиты нужно ввести PIN‑код, отправленный приложением. Введённый код позволял злоумышленникам перехватывать аккаунт, получать доступ к контактам и читать входящие сообщения.
Дополнительно атакуемым высылали ссылки, замаскированные под приглашения в канал WhatsApp. На самом деле они перенаправляли пользователей на фишинговые сайты.
Среди пострадавших оказался бывший вице‑президент Федеральной разведывательной службы Германии (BND) Арндт Фрейтаг фон Лоринговен. Кроме того, свой аккаунт утратил англо‑американский финансист и известный критик российской власти Билл Браудер.
О попытках получить доступ к страницам высокопоставленных чиновников и военнослужащих в Signal и WhatsApp ранее сообщала разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, но при этом не привели технических доказательств. Похожее предупреждение опубликовало и ФБР США.
Руководство Signal подтвердило, что осведомлено о фишинговых атаках и относится к ним предельно серьёзно. При этом в компании подчёркивают, что речь не идёт о взломе или уязвимости системы шифрования — злоумышленники эксплуатируют невнимательность пользователей.
По данным Correctiv, сайты, на которые вели вредоносные ссылки, были размещены на серверах хостинг‑провайдера Aeza. Этой площадкой и раньше пользовались для проведения политических пропагандистских и криминальных киберкампаний, которые приписывают российским государственным структурам. Сам провайдер и его основатель сейчас находятся под санкциями США и Великобритании.
Во фишинговые сайты был встроен специализированный инструмент «Дефишер». Его ещё в 2024 году рекламировали на российских хакерских форумах по цене около 690 долларов. По сведениям расследователей, разработчик инструмента — молодой фрилансер из Москвы. Изначально «Дефишер» создавался для обычных киберпреступников, однако примерно год назад его начали активно интегрировать в свои операции группы хакеров, которых аналитики относят к спонсируемым государством структурам, пишет Correctiv со ссылкой на экспертов по информационной безопасности.
Эксперты по кибербезопасности полагают, что за нынешней кампанией может стоять группировка UNC5792, которой уже приписывали аналогичные фишинговые операции в других странах.
Около года назад аналитики Google опубликовали отчёт, в котором утверждалось, что UNC5792 рассылала украинским военнослужащим фишинговые ссылки и поддельные коды для входа в их мессенджеры.
