Политики, высокопоставленные чиновники и журналисты из разных стран стали мишенью масштабной кампании по взлому аккаунтов в мессенджере Signal.
По данным расследователей и экспертов по кибербезопасности, за этой кампанией могут стоять российские хакеры, предположительно связанные с государственными структурами.
Жертвам приходили сообщения от профиля с названием Signal Support. В этих уведомлениях утверждалось, что их учётная запись якобы находится под угрозой, и для защиты нужно ввести PIN‑код, отправленный приложением. После передачи кода злоумышленники получали доступ к аккаунту, могли просматривать список контактов и читать входящие сообщения.
Кроме того, пострадавшим высылали ссылки, выглядевшие как приглашение в канал WhatsApp. На деле переход по ним вёл на фишинговые сайты.
Среди жертв кампании оказался бывший вице‑президент немецкой внешней разведки BND Арндт Фрейтаг фон Лоринговен. Также сообщалось о взломе аккаунта англо‑американского финансиста и критика российских властей Билла Браудера.
О попытках получить доступ к аккаунтам высокопоставленных лиц и военнослужащих в Signal и WhatsApp проинформировала и разведслужба Нидерландов. Там связали эту активность с российскими спецслужбами, хотя конкретных технических доказательств не опубликовали. Похожие выводы о нацеливании на пользователей коммерческих мессенджеров содержатся и в предупреждении ФБР США.
Представители Signal заявили, что осведомлены о происходящем и относятся к проблеме максимально серьёзно, подчёркивая при этом, что речь идёт не о взломе шифрования, а о социальной инженерии и фишинге.
Расследователи установили, что фишинговые сайты, на которые вели вредоносные ссылки, размещались на серверах хостинг‑провайдера Aeza. Эта площадка уже ранее фигурировала в связи с пропагандистскими и криминальными онлайн‑операциями, которые приписывали российским структурам. Сам провайдер и его основатель находятся под санкциями США и Великобритании.
В фишинговые ресурсы был встроен специализированный инструмент «Дефишер». Его рекламировали на российских хакерских форумах ещё в 2024 году по цене около 690 долларов. По данным расследователей, разработчик инструмента — молодой фрилансер из Москвы. Первоначально «Дефишер» создавался для киберпреступников, однако примерно год назад им начали активно пользоваться и группы хакеров, которых эксперты считают подконтрольными российскому государству.
Специалисты по информационной безопасности полагают, что за кампанией может стоять хакерская группировка, известная под обозначением UNC5792. Её ранее уже обвиняли в организации подобных фишинговых операций в разных странах.
Ранее аналитики Google публиковали отчёт, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
