Иностранные политики, сотрудники государственных ведомств и журналисты в разных странах мира стали жертвами целенаправленной кампании по захвату аккаунтов в Signal. Журналисты‑расследователи выявили цифровые следы, которые указывают на участие спонсируемых государством российских хакеров.
Жертвам приходили сообщения от профиля с ником Signal Support. В них утверждалось, что учетная запись якобы находится под угрозой, и предлагалось ввести PIN‑код, присланный приложением. После этого злоумышленники получали контроль над аккаунтом, могли просматривать список контактов и читать входящие сообщения.
Кроме того, атакующие рассылали ссылки, оформленные как приглашения в канал WhatsApp, но на самом деле ведущие на фишинговые сайты.
Среди пострадавших оказался бывший вице‑президент германской внешней разведки BND Арндт Фрейтаг фон Лоринговен. Также о потере доступа к своему аккаунту сообщил англо‑американский финансист и критик российских властей Билл Браудер.
О попытках захвата аккаунтов высокопоставленных лиц и военных в Signal и WhatsApp ранее информировала и разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, однако прямых доказательств не представили. Аналогичное предупреждение опубликовало и ФБР США.
Представители Signal заявили, что в курсе происходящего и относятся к ситуации крайне серьезно, подчеркнув при этом, что речь не идет о взломе или уязвимости системы шифрования сервиса.
Расследователи установили, что фишинговые сайты, на которые вели рассылки, размещались на серверах хостинг‑провайдера Aeza. Этот сервис ранее уже связывали с пропагандистскими и криминальными операциями, приписываемыми России и поддерживаемыми государством. Сам провайдер и его основатель находятся под санкциями США и Великобритании.
Во вредоносные веб‑страницы был встроен фишинговый инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным расследователей, разработчиком инструмента является молодой фрилансер из Москвы. Изначально продукт создавался для киберпреступников, но примерно год назад его начали активно использовать и хакерские группы, которых эксперты считают подконтрольными государству.
По оценке специалистов в области кибербезопасности, за текущей фишинговой кампанией может стоять группа UNC5792, ранее обвинявшаяся в проведении похожих операций в других странах.
Около года назад аналитики Google публиковали отчет, в котором утверждалось, что UNC5792 рассылала украинским военнослужащим фишинговые ссылки и коды для входа, пытаясь получить доступ к их аккаунтам в мессенджерах.
