По данным расследователей, за масштабной кампанией взлома аккаунтов в мессенджерах могут стоять российские хакеры, связанные с государственными структурами.
Иностранные политики, правительственные чиновники и журналисты в разных странах стали жертвами координированной кампании по захвату аккаунтов в Signal. Немецкая команда журналистских расследований обнаружила цифровые улики, указывающие на причастность спонсируемых государством российских хакеров.
Жертвам приходили сообщения от профиля с ником Signal Support. В них утверждалось, что учетная запись якобы под угрозой, и предлагалось ввести PIN‑код, отправленный приложением. После этого злоумышленники получали возможность перехватить учетную запись, просмотреть список контактов и читать входящие сообщения.
Кроме того, хакеры рассылали ссылки, замаскированные под приглашение в канал WhatsApp, которые на самом деле перенаправляли пользователей на фишинговые сайты.
Среди пострадавших оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Свой аккаунт также потерял англо‑американский инвестор и давний критик российских властей Билл Браудер.
О попытках получить доступ к страницам высокопоставленных чиновников и военных в Signal и WhatsApp ранее сообщила и разведывательная служба Нидерландов. Там связали активность с российскими спецслужбами, но публичных доказательств не представили. Аналогичное предупреждение опубликовало и ФБР США.
Представители Signal заявили, что знают о серии атак и относятся к проблеме крайне серьезно, подчеркнув при этом, что речь не идет о взломе или уязвимости шифрования в самом мессенджере.
Расследователи установили, что фишинговые сайты размещались на серверах хостинг‑провайдера Aeza. Этот провайдер уже фигурировал в историях о проведении пропагандистских и преступных онлайн‑операций, приписываемых России. Aeza и ее основатель сейчас находятся под санкциями США и Великобритании.
Во фишинговые сайты был встроен специализированный инструмент под названием «Дефишер». Его реклама появлялась на российских хакерских форумах еще в 2024 году, стоимость сервиса составляла около $690. По данным расследователей, поставщик инструмента — молодой фрилансер из Москвы. Первоначально «Дефишер» создавался для киберпреступников, однако около года назад, по оценке экспертов по информационной безопасности, им стали пользоваться и хакерские группы, связанные с государственными структурами.
Специалисты по кибербезопасности считают, что за нынешней кампанией может стоять группировка UNC5792, которую уже обвиняли в аналогичных фишинговых атаках в других странах.
Около года назад аналитики Google публиковали отчет, в котором говорилось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим в попытке получить доступ к их мессенджерам.
