За масштабной кампанией по взлому аккаунтов в мессенджере Signal и других сервисах связи могут стоять российские хакеры, предположительно связанные с государственными структурами.
Иностранные политики, высокопоставленные государственные чиновники и журналисты в разных странах стали жертвами целенаправленной кампании по захвату аккаунтов в Signal. Немецкая расследовательская платформа Correctiv обнаружила цифровые следы, указывающие на участие спонсируемых государством российских хакеров.
Жертвам приходили сообщения от профиля под именем Signal Support. В этих сообщениях утверждалось, что учетная запись якобы находится под угрозой, и предлагалось ввести PIN‑код, отправленный приложением. После передачи PIN злоумышленники получали контроль над аккаунтом, могли просматривать список контактов и читать входящие сообщения.
Помимо этого, неизвестные рассылали ссылки, оформленные как приглашения в канал WhatsApp, однако на деле они вели на фишинговые сайты.
Среди пострадавших оказался бывший вице‑президент Федеральной разведывательной службы Германии (BND) Арндт Фрейтаг фон Лоринговен. Кроме того, доступ к своему аккаунту потерял англо‑американский финансист и критик российских властей Билл Браудер.
О попытках захвата аккаунтов высокопоставленных лиц и военнослужащих в Signal и WhatsApp ранее сообщала служба разведки Нидерландов. Там связали кампанию с российскими спецслужбами, однако не представили технических доказательств. Похожее предупреждение опубликовало и ФБР США.
Руководство Signal заявило, что осведомлено о происходящем и относится к ситуации крайне серьезно. При этом в компании подчеркнули, что речь не идет о взломе или уязвимости системы шифрования, а используется социальная инженерия и перехват кода подтверждения.
Correctiv установила, что фишинговые сайты, на которые вели рассылаемые ссылки, были размещены на серверах хостинг‑провайдера Aeza. Этот провайдер ранее фигурировал в связи с российскими пропагандистскими и преступными онлайн‑кампаниями, которые, по данным расследователей, поддерживались государственными структурами. Хостинг‑компания и ее основатель находятся под санкциями США и Великобритании.
В указанные веб‑сайты был встроен фишинговый инструмент «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным Correctiv, поставщиком инструмента является молодой фрилансер из Москвы. Изначально «Дефишер» создавался для киберпреступников, но примерно год назад им начали пользоваться и предполагаемо спонсируемые государством российские хакерские группы, утверждают опрошенные эксперты по информационной безопасности.
Специалисты по кибербезопасности полагают, что за нынешней кампанией может стоять группировка UNC5792, ранее обвинявшаяся в проведении схожих фишинговых операций в других странах.
Около года назад аналитики Google публиковали доклад, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и коды входа украинским военнослужащим для попыток получить доступ к их аккаунтам в мессенджерах.
