Политики, высокопоставленные чиновники и журналисты из разных стран столкнулись с масштабной кампанией по взлому аккаунтов в мессенджере Signal, к которой, по данным расследователей и спецслужб, могут быть причастны российские хакеры, предположительно связанные с государственными структурами.
По данным немецкого расследовательского издания Correctiv, пострадали иностранные политики, сотрудники правительственных ведомств и журналисты по всему миру. Цифровые улики, собранные журналистами и экспертами по кибербезопасности, указывают на участие спонсируемых государством российских хакеров.
Жертвы получали сообщения от профиля с ником Signal Support. В них утверждалось, что их учётная запись якобы под угрозой, и предлагалось ввести PIN‑код, отправленный приложением. После ввода кода злоумышленники получали контроль над аккаунтом, могли просматривать контакты и читать входящие сообщения.
Помимо этого, хакеры рассылали ссылки, которые внешне выглядели как приглашение в канал WhatsApp, но на деле перенаправляли на фишинговые сайты.
Среди жертв кампании оказался бывший вице‑президент немецкой разведслужбы BND Арндт Фрейтаг фон Лоринговен. Также о потере доступа к своему аккаунту заявил англо‑американский финансист и давний критик российских властей Билл Браудер.
О попытках перехвата страниц высокопоставленных лиц и военнослужащих в Signal и WhatsApp ранее предупреждала и разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, однако прямые доказательства обнародованы не были. Похожее предупреждение выпустило и американское ФБР, сообщив о целенаправленных атаках на аккаунты в коммерческих мессенджерах.
Разработчики Signal подтвердили, что осведомлены о проблеме и относятся к ней крайне серьёзно, при этом подчеркнули, что суть атаки не связана с уязвимостью системы шифрования приложения.
Журналистам Correctiv удалось установить, что фишинговые сайты располагались на серверах хостинг‑провайдера Aeza. Этот провайдер ранее уже фигурировал в расследованиях как платформа для проведения пропагандистских и преступных кампаний, приписываемых российским структурам. Компания Aeza и её основатель находятся под санкциями США и Великобритании.
Во вредоносные сайты был встроен фишинговый инструмент под названием «Дефишер». Его с 2024 года рекламировали на российских хакерских форумах по цене около 690 долларов. По данным Correctiv, разработчиком выступает молодой фрилансер из Москвы. Изначально «Дефишер» создавался для киберпреступников, однако примерно год назад, по оценкам экспертов по информационной безопасности, этот инструмент начали активно использовать и спонсируемые государством российские хакерские группы.
Специалисты по ИБ полагают, что за текущей кампанией может стоять группировка UNC5792, которую уже обвиняли в проведении аналогичных фишинговых операций в других странах.
Ранее аналитики Google в своём отчёте указывали, что группировка UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
