По данным международных расследователей и спецслужб, за масштабной кампанией по взлому аккаунтов в мессенджере Signal могут стоять российские хакеры, действующие при поддержке государства.
Иностранные политики, правительственные чиновники и журналисты в разных странах мира стали мишенью фишинговой кампании, нацеленной на захват их аккаунтов в Signal. Расследователи выявили цифровые следы, которые указывают на участие российских хакеров, предположительно связанных с госструктурами.
Жертвам рассылались сообщения от профиля с ником Signal Support. В них утверждалось, что учетная запись якобы находится под угрозой, и для защиты требовалось ввести PIN‑код, отправленный самим приложением. После передачи PIN злоумышленники получали контроль над учетной записью, могли просматривать контакты и читать входящие сообщения.
Кроме того, участники кампании направляли адресатам ссылки, оформленные как приглашение в канал WhatsApp. На деле переход вел на фишинговые сайты, предназначенные для кражи данных доступа.
Среди пострадавших оказался бывший вице‑президент германской внешней разведки BND Арндт Фрейтаг фон Лоринговен. Также о потере доступа к своему аккаунту сообщал англо‑американский финансист и критик российских властей Билл Браудер.
О попытках захвата аккаунтов высокопоставленных лиц и военных в Signal и WhatsApp ранее уведомляла и нидерландская служба разведки и безопасности, которая связала кампанию с российскими спецслужбами, не приводя при этом технических доказательств. Похожее предупреждение выпустило и ФБР США, также обращая внимание на целевые атаки на аккаунты в коммерческих мессенджерах.
Представители Signal заявили, что осведомлены о происходящем и относятся к проблеме максимально серьезно. При этом в компании подчеркнули, что речь не идет о компрометации шифрования, а используется социальная инженерия и перехват кода подтверждения.
В ходе анализа инфраструктуры атаки стало известно, что фишинговые сайты размещались на серверах хостинг‑провайдера Aeza. Этот провайдер ранее фигурировал в ряде пропагандистских и криминальных кампаний, которые, по оценке экспертов, поддерживались российскими госструктурами. Сам провайдер и его основатель уже находятся под санкциями США и Великобритании.
На вредоносных сайтах использовался фишинговый инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным расследователей, разработчиком сервиса является молодой фрилансер из Москвы. Изначально «Дефишер» создавался для обычных киберпреступников, однако примерно год назад, по оценке специалистов по информационной безопасности, этим инструментом начали активно пользоваться и подконтрольные государству российские хакерские группы.
Эксперты по кибербезопасности полагают, что за нынешней кампанией может стоять группировка UNC5792, которую ранее уже обвиняли в организации аналогичных фишинговых операций в ряде стран.
Около года назад аналитики Google публиковали отчет, согласно которому UNC5792 рассылала фишинговые ссылки и коды подтверждения украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
