Политики, правительственные чиновники и журналисты в разных странах стали жертвами масштабной кампании по взлому аккаунтов в мессенджере Signal. Расследователи обнаружили цифровые следы, указывающие на возможную причастность российских хакеров, действующих при поддержке государства.
Злоумышленники рассылали сообщения от имени профиля с ником Signal Support. В них утверждалось, что учетная запись пользователя находится под угрозой, а для защиты необходимо ввести PIN‑код, якобы отправленный приложением. После ввода кода атакующие получали контроль над учетной записью, могли просматривать контакты и входящие сообщения.
Помимо этого, жертвам отправляли ссылки, выгляделшие как приглашение в канал WhatsApp, но фактически ведущие на фишинговые сайты.
Среди тех, кто пострадал от кампании, оказался бывший заместитель главы Федеральной разведывательной службы Германии (BND) Арндт Фрейтаг фон Лоринговен. Также доступ к своему аккаунту потерял англо‑американский финансист и критик российских властей Билл Браудер.
О попытках захвата аккаунтов высокопоставленных лиц и военнослужащих в Signal и WhatsApp ранее сообщала разведывательная служба Нидерландов, связавшая кампанию с российскими спецслужбами. Конкретных доказательств при этом представлено не было. Схожее предупреждение выпустило и американское ФБР.
Представители Signal заявили, что знают о проблеме и относятся к ней крайне серьезно, подчеркнув при этом, что речь не идет о взломе или уязвимости системы шифрования мессенджера.
Расследователи установили, что вредоносные сайты, на которые вели отправленные жертвам ссылки, размещались на серверах хостинг‑провайдера Aeza. Этот сервис ранее фигурировал в кампаниях, связанных с российской пропагандой и киберпреступностью при поддержке государства. Хостинг‑провайдер и его основатель уже находятся под санкциями США и Великобритании.
Во фишинговые сайты был встроен инструмент «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным расследователей, поставщиком инструмента является молодой фрилансер из Москвы. Изначально «Дефишер» разрабатывался для киберпреступников, но примерно год назад его стали активно применять и хакеры, которых эксперты относят к структурам, действующим при поддержке государства.
По оценке специалистов по кибербезопасности, за этой кампанией может стоять группировка UNC5792, ранее обвинявшаяся в проведении аналогичных фишинговых операций в других странах.
Год назад аналитики Google публиковали доклад, в котором указывалось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, чтобы получить доступ к их аккаунтам.
