По всему миру развёрнута масштабная кампания по взлому аккаунтов в Signal, к которой, по данным расследователей и специалистов по кибербезопасности, могут быть причастны российские хакеры, связанные с государственными структурами.
Иностранные политики, правительственные чиновники и журналисты в разных странах стали жертвами целевой кампании против пользователей Signal. Немецкие расследователи обнаружили цифровые следы, указывающие на участие спонсируемых государством российских хакеров.
Злоумышленники рассылали сообщения от профиля с ником Signal Support, утверждая, что учётная запись адресата якобы находится под угрозой. Пользователям предлагалось ввести PIN‑код, отправленный приложением. После ввода кода атакующие получали доступ к аккаунту, могли просматривать контакты и читать входящие сообщения.
Кроме того, жертвам приходили ссылки, маскирующиеся под приглашения в канал WhatsApp. На самом деле они вели на фишинговые сайты, созданные для перехвата данных.
Среди пострадавших оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также свой аккаунт потерял англо‑американский инвестор и критик российских властей Билл Браудер.
О попытках захвата страниц высокопоставленных лиц и военнослужащих в Signal и WhatsApp ранее заявляла разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, однако конкретных доказательств не представили. Аналогичное предупреждение публиковало и ФБР США.
Представители Signal сообщили, что осведомлены о происходящем и относятся к проблеме максимально серьёзно, подчеркнув при этом, что кампания не связана с уязвимостями системы шифрования мессенджера.
Выяснилось, что сайты, на которые вели фишинговые ссылки, размещались на серверах хостинг‑провайдера Aeza. Этот провайдер ранее фигурировал в операциях, которые расследователи связывали с пропагандистскими и преступными кампаниями под эгидой российских государственных структур. В настоящее время Aeza и её основатель находятся под санкциями США и Великобритании.
Во фишинговые сайты был встроен инструмент «Дефишер». Его рекламировали на российских хакерских форумах ещё в 2024 году по цене около 690 долларов. По данным немецких расследователей, поставщиком выступает молодой фрилансер из Москвы. Изначально «Дефишер» создавался для киберпреступников, однако примерно год назад, по оценкам экспертов по информационной безопасности, спонсируемые государством российские хакеры начали активно интегрировать этот инструмент в свои операции.
Эксперты по ИБ считают, что за атакой может стоять хакерская группировка UNC5792, которую ранее обвиняли в организации схожих фишинговых кампаний в других странах.
Около года назад аналитики Google публиковали доклад, согласно которому UNC5792 рассылала украинским военнослужащим фишинговые ссылки и коды для входа в аккаунты.
