За масштабной кампанией по взлому аккаунтов в защищённом мессенджере Signal, по данным расследователей, могут стоять российские хакеры, связанные с государственными структурами.
Иностранные политики, правительственные чиновники и журналисты в разных странах стали жертвами кампании по взлому аккаунтов в Signal. Немецкая расследовательская редакция Correctiv обнаружила цифровые улики, указывающие на то, что за операцией могут стоять спонсируемые государством российские киберпреступники.
Пострадавшие получали сообщения от профиля с ником Signal Support, в которых утверждалось, что их учётная запись якобы находится под угрозой, и для её защиты необходимо ввести PIN‑код, присланный приложением. После ввода кода злоумышленники получали контроль над аккаунтом, могли просматривать список контактов и читать входящие сообщения.
Кроме того, атакующие рассылали ссылки, выглядевшие как приглашение в канал WhatsApp, но на самом деле ведущие на фишинговые сайты.
Среди жертв этой кампании оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также свой аккаунт потерял англо‑американский финансист и критик Кремля Билл Браудер.
О попытках захватить аккаунты высокопоставленных лиц и военных в Signal и WhatsApp ранее сообщала разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, однако конкретных доказательств не привели. Похожее предупреждение опубликовало и ФБР США.
Представители Signal заявили, что осведомлены о происходящем и относятся к проблеме максимально серьёзно, при этом подчеркнули, что речь не идёт о взломе или уязвимости системы сквозного шифрования.
Correctiv установило, что фишинговые сайты, на которые перенаправляли жертв, размещались на серверах хостинг‑провайдера Aeza. Этот провайдер уже фигурировал в ряде расследований, связанных с координацией российских пропагандистских и криминальных онлайн‑кампаний, поддерживаемых государством. Компания Aeza и её основатель находятся под санкциями США и Великобритании.
В вредоносные сайты был встроен фишинговый инструмент «Дефишер». По данным расследователей, он рекламировался на российских хакерских форумах ещё в 2024 году по цене около 690 долларов. Утверждается, что разработчик — молодой фрилансер из Москвы. Изначально продукт предлагался киберпреступникам на чёрном рынке, однако примерно год назад подконтрольные государству хакерские структуры начали интегрировать «Дефишер» в собственные операции, указывают эксперты по информационной безопасности со ссылкой на данные Correctiv.
По оценкам специалистов по кибербезопасности, за кампанией может стоять группировка UNC5792, ранее обвинявшаяся в аналогичных фишинговых атаках в разных странах.
Около года назад аналитики Google в своём расследовании сообщали, что UNC5792 рассылала фишинговые ссылки и одноразовые коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
