К масштабной кампании по взлому аккаунтов в мессенджерах могут быть причастны российские хакеры, предположительно связанные с государственными структурами.
Цель атаки — политики, чиновники и журналисты по всему миру
По данным расследователей, иностранные политики, правительственные чиновники и журналисты из разных стран стали жертвами организованной кампании по взлому аккаунтов в Signal. Цифровые улики указывают на то, что за операцией могут стоять спонсируемые государством хакеры из России.
Как работала схема взлома
Пользователи получали сообщения от профиля с именем Signal Support. В этих сообщениях утверждалось, что их учетная запись якобы находится под угрозой, а для защиты нужно ввести PIN‑код, отправленный приложением. После ввода кода злоумышленники получали контроль над аккаунтом, могли просматривать список контактов и читать входящие сообщения.
Кроме того, жертвам рассылали ссылки, оформленные как приглашения в канал WhatsApp. На самом деле эти ссылки вели на фишинговые сайты, созданные для кражи данных.
Среди пострадавших — бывший топ‑чиновник немецкой разведки
Среди известных жертв кампании — бывший вице‑президент Федеральной разведывательной службы Германии (BND) Арндт Фрейтаг фон Лоринговен. Также о потере доступа к своему аккаунту сообщал англо‑американский инвестор и критик российских властей Билл Браудер.
Предупреждения спецслужб Европы и США
О попытках завладеть аккаунтами высокопоставленных чиновников и военнослужащих в Signal и WhatsApp ранее информировала разведывательная служба Нидерландов. Там предположили, что за кампанией стоят российские спецслужбы, однако конкретные технические доказательства не были опубликованы. Похожее предупреждение выпустило и ФБР США, указав на интерес российских структур к коммерческим мессенджерам.
Позиция Signal
Разработчики Signal заявили, что осведомлены о происходящем и относятся к этому крайне серьезно. При этом они подчеркнули, что атаки не связаны с уязвимостями в системе шифрования сообщений и основаны именно на социальной инженерии и фишинге.
Инфраструктура и инструменты фишинга
Расследователям удалось установить, что фишинговые сайты, на которые вели рассылочные ссылки, были размещены на серверах хостинг‑провайдера Aeza. Ранее этот провайдер уже фигурировал в контексте пропагандистских и криминальных онлайн‑операций, связанных с российскими структурами. Как компания, так и её основатель находятся под санкциями США и Великобритании.
В веб‑страницы был встроен специализированный фишинговый инструмент «Дефишер». Его реклама появлялась на российских хакерских форумах ещё в 2024 году по цене около 690 долларов. По данным расследования, разработчиком инструмента является молодой фрилансер из Москвы. Изначально «Дефишер» позиционировался как средство для киберпреступников, но примерно год назад его начали активно использовать и подконтрольные государству хакерские группы.
Подозрения в адрес группировки UNC5792
Эксперты по информационной безопасности считают, что за текущей кампанией может стоять хакерская группировка UNC5792, ранее уже обвинявшаяся в проведении аналогичных фишинговых операций в ряде стран.
Примерно год назад аналитики Google публиковали отчет, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и коды подтверждения украинским военнослужащим, чтобы получить доступ к их учетным записям в мессенджерах.
