Мировые политики, высокопоставленные чиновники и журналисты в разных странах стали жертвами масштабной кампании по взлому аккаунтов в мессенджере Signal. Немецкое издание Correctiv обнаружило цифровые следы, указывающие на возможную причастность российских хакеров, связанных с государственными структурами.
Жертвам приходили сообщения от профиля с именем Signal Support. В них утверждалось, что их учетная запись якобы находится под угрозой, и для защиты нужно ввести PIN‑код, отправленный приложением. После ввода кода злоумышленники получали контроль над аккаунтом, доступ к списку контактов и входящим сообщениям.
Кроме того, пользователям рассылались ссылки, выглядевшие как приглашение в канал WhatsApp, но на деле ведущие на фишинговые веб‑сайты.
Среди пострадавших от этой кампании оказался бывший заместитель главы немецкой внешней разведки BND Арндт Фрейтаг фон Лоринговен. Также о потере доступа к своему аккаунту сообщил англо‑американский инвестор и критик российских властей Билл Браудер.
О попытках захвата аккаунтов высокопоставленных лиц и военнослужащих в Signal и WhatsApp ранее предупреждала служба разведки Нидерландов. Там связали кампанию с российскими спецслужбами, однако конкретные доказательства не привели. Похожее заявление опубликовало и ФБР США.
Представители Signal заверили, что осведомлены о происходящем и относятся к ситуации крайне серьезно, при этом подчеркнув, что речь не идет о взломе или уязвимости системы шифрования мессенджера.
По данным Correctiv, фишинговые сайты, на которые вели рассылки, были размещены на серверах хостинг‑провайдера Aeza. Этот сервис уже использовался в прошлых пропагандистских и преступных операциях, приписываемых структурам, поддерживаемым российским государством. Хостинг‑провайдер и его основатель сейчас находятся под санкциями США и Великобритании.
В веб‑сайты был встроен специализированный фишинговый инструмент «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По сведениям Correctiv, его поставщиком является молодой фрилансер из Москвы. Изначально инструмент создавался для киберпреступников, однако примерно год назад его начали активно использовать хакерские группы, которые эксперты связывают с государственными структурами.
Эксперты по кибербезопасности полагают, что за кампанией может стоять группировка UNC5792, ранее обвинявшаяся в организации аналогичных фишинговых атак в других странах.
Год назад аналитики Google публиковали отчет, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
