За масштабной кампанией по взлому аккаунтов в мессенджерах, по данным расследователей, могут стоять связанные с государством российские хакеры.
Иностранные политики, правительственные чиновники и журналисты по всему миру стали жертвами целенаправленной кампании по компрометации аккаунтов в Signal. Немецкая команда расследователей обнаружила цифровые следы, указывающие на участие спонсируемых государством российских хакеров.
Жертвам приходили сообщения от профиля с именем Signal Support. В них говорилось, что их аккаунт якобы находится под угрозой и необходимо ввести PIN‑код, отправленный приложением. После передачи PIN злоумышленники получали контроль над учетной записью, доступ к списку контактов и входящим сообщениям.
Кроме того, атакующие рассылали ссылки, замаскированные под приглашения в канал WhatsApp. На деле переход вел на фишинговые сайты.
Среди пострадавших оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также о потере своего аккаунта сообщал англо‑американский инвестор и критик российских властей Билл Браудер.
О попытках захвата страниц высокопоставленных лиц и военнослужащих в Signal и WhatsApp ранее предупреждала разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, однако прямых доказательств не привели. Похожие выводы озвучило и американское ФБР.
Разработчики Signal заявили, что осведомлены о происходящем и относятся к проблеме максимально серьезно, но подчеркнули: речь идет не о взломе системы шифрования, а о социальной инженерии.
Расследователям удалось установить, что фишинговые сайты размещались на серверах хостинг‑провайдера Aeza. Этот провайдер, по данным специалистов, и ранее использовался для проведения поддерживаемых государством российских пропагандистских и криминальных кампаний. И сама компания, и ее основатель находятся под санкциями США и Великобритании.
В сайты был встроен фишинговый инструмент «Дефишер», который рекламировался на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По информации расследователей, его создатель — молодой фрилансер из Москвы. Изначально средство позиционировалось как инструмент для киберпреступников, однако около года назад им начали активно пользоваться и поддерживаемые государством российские хакерские структуры, утверждают эксперты по информационной безопасности.
Специалисты по кибербезопасности полагают, что за кампанией может стоять группировка UNC5792, ранее обвинявшаяся в проведении аналогичных фишинговых атак в других странах.
Год назад аналитики Google публиковали отчет, где говорилось, что UNC5792 рассылала фишинговые ссылки и коды входа украинским военнослужащим.
