Крупная кампания по взлому аккаунтов в мессенджере Signal затронула иностранных политиков, госчиновников и журналистов в разных странах. Расследователи указывают на цифровые признаки, которые могут свидетельствовать о связи атакующих с российскими хакерами, предположительно получающими поддержку от государственных структур.
Пользователи получали сообщения от профиля с именем Signal Support. В этих уведомлениях утверждалось, что их учётная запись якобы находится под угрозой, и для защиты нужно ввести PIN‑код, отправленный приложением. После ввода кода злоумышленники получали контроль над аккаунтом, могли просматривать список контактов и читать входящие сообщения.
Кроме того, жертвам рассылали ссылки, оформленные как приглашения в канал WhatsApp. На самом деле они перенаправляли пользователей на фишинговые сайты.
Среди пострадавших оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также сообщалось о взломе аккаунта англо‑американского финансиста и критика российских властей Билла Браудера.
О попытках получить доступ к страницам высокопоставленных лиц и военнослужащих в Signal и WhatsApp ранее уведомляла разведывательная служба Нидерландов. Там связали эту деятельность с российскими спецслужбами, но конкретных доказательств не привели. Похожее предупреждение выпускало и ФБР США.
Представители Signal заявили, что осведомлены о случаях мошенничества и относятся к ним максимально серьёзно. При этом они подчеркнули, что речь идёт не о проблеме со штабельным шифрованием сервиса, а о социальной инженерии и фишинге.
Расследователям удалось установить, что сайты, на которые вели фишинговые ссылки, размещались на серверах хостинг‑провайдера Aeza. Ранее эта площадка неоднократно использовалась для проведения пропагандистских и преступных кампаний, приписываемых России и поддерживаемых государственными структурами. В настоящее время Aeza и её основатель находятся под санкциями США и Великобритании.
Во вредоносные сайты был встроен фишинговый инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах ещё в 2024 году по цене около 690 долларов США. По данным расследователей, поставщиком инструмента является молодой фрилансер из Москвы. Изначально «Дефишер» разрабатывался как инструмент для киберпреступников, однако примерно год назад, по оценке экспертов по информационной безопасности, его начали активно интегрировать в свои операции и группы, которые связывают с российскими госструктурами.
Эксперты по кибербезопасности полагают, что за нынешней кампанией может стоять группировка UNC5792, которой уже ранее приписывали проведение аналогичных фишинговых операций в разных странах.
Год назад аналитики Google публиковали отчёт, в котором утверждалось, что UNC5792 рассылала украинским военнослужащим фишинговые ссылки и коды для входа в аккаунты.
