Международная группа политиков, правительственных чиновников и журналистов стала жертвой масштабной кампании по взлому аккаунтов в мессенджере Signal, за которой, по данным расследователей и специалистов по кибербезопасности, могут стоять российские хакеры, предположительно связанные с государственными структурами.
Пострадавшие получали сообщения от профиля с ником Signal Support, где утверждалось, что их учётная запись якобы находится под угрозой. Для «подтверждения» безопасности пользователям предлагали ввести PIN‑код, отправленный приложением. После этого злоумышленники могли перехватить контроль над учётной записью, просматривать список контактов и читать входящие сообщения.
Дополнительно жертвам высылали ссылки, замаскированные под приглашения в канал WhatsApp. На деле эти URL перенаправляли пользователей на фишинговые сайты.
Среди тех, кто столкнулся с атакой, оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Отмечалось также, что в результате подобной схемы потерял доступ к своему аккаунту и англо‑американский предприниматель и критик российской власти Билл Браудер.
О попытках захвата страниц высокопоставленных лиц и военнослужащих в Signal и WhatsApp ранее сообщала и разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, хотя прямых доказательств представлено не было. Аналогичное по содержанию предупреждение публиковало и ФБР США.
Команда разработчиков Signal заявила, что осведомлена о проблеме и рассматривает её крайне серьёзно, однако подчеркнула: речь идёт не об уязвимости в шифровании, а об успешной социальной инженерии и фишинге.
Расследователям удалось установить, что фишинговые сайты, на которые вели рассылки, размещались на серверах хостинг‑провайдера Aeza. Этот провайдер ранее уже фигурировал в связи с проводившимися через него пропагандистскими и преступными операциями, приписываемыми России. На Aeza и её основателя введены санкции США и Великобритании.
Во вредоносные веб‑сайты был встроен специализированный фишинговый инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах ещё в 2024 году по цене около 690 долларов. По данным расследователей, разработчиком инструмента является молодой фрилансер из Москвы. Изначально продукт создавался для использования киберпреступниками, однако примерно год назад его стали активно интегрировать в свои операции и хакерские группы, которые эксперты считают аффилированными с государственными структурами.
По оценке специалистов по информационной безопасности, за нынешней кампанией может стоять группировка UNC5792, которую ранее уже обвиняли в проведении схожих фишинговых операций в других странах.
Около года назад аналитики Google публиковали отчёт, в котором утверждалось, что UNC5792 рассылала украинским военнослужащим фишинговые ссылки и коды подтверждения для входа в аккаунты, пытаясь получить доступ к их переписке.
