За масштабной кампанией по взлому аккаунтов в мессенджере Signal, жертвами которой стали иностранные политики, чиновники и журналисты, могут стоять российские хакеры, предположительно связанные с государственными структурами.
Иллюстрация, созданная с использованием нейросетевых технологий
По данным немецкого расследовательского издания Correctiv, иностранные политики, представители правительственных структур и журналисты в разных странах столкнулись с целевой фишинговой кампанией, нацеленной на захват их аккаунтов в Signal. Анализ цифровых следов, по утверждению издания, указывает на участие хакеров, которых связывают с российскими государственными интересами.
Пользователи получали сообщения от профиля с ником Signal Support. В этих уведомлениях говорилось, что их учетная запись якобы находится под угрозой, и предлагалось ввести PIN‑код, отправленный приложением. После передачи кода злоумышленники могли перехватить учетную запись, получить доступ к контактам и читать входящие сообщения.
Кроме того, пострадавшим направляли ссылки, оформленные как приглашения в канал WhatsApp, которые на самом деле перенаправляли на фишинговые сайты.
Среди жертв кампании, по сообщениям СМИ, оказался бывший вице‑президент германской внешней разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также о потере доступа к своему аккаунту заявлял англо‑американский инвестор и критик российских властей Билл Браудер, который публично сообщил об этом.
О попытках захвата аккаунтов высокопоставленных лиц и военных в Signal и WhatsApp ранее предупреждала спецслужба Нидерландов AIVD. Там заявили, что видят за кампанией российские спецслужбы, однако конкретные доказательства в открытом доступе не привели. Похожие выводы содержались и в совместном уведомлении американских структур кибербезопасности и ФБР.
Руководство Signal заявило, что осведомлено о происходящем и относится к ситуации максимально серьезно. При этом в компании подчеркнули, что речь идет не об уязвимости системы шифрования, а о социальной инженерии и компрометации пользователей через фишинг.
По данным Correctiv, фишинговые сайты, на которые вели рассылки, размещались на серверах хостинг‑провайдера Aeza. Этот провайдер, как утверждают расследователи, уже ранее фигурировал в качестве инфраструктуры для государственных пропагандистских и киберпреступных кампаний, связанных с Россией. На саму компанию и ее основателя наложены санкции США и Великобритании.
В веб‑страницы был встроен специализированный фишинговый инструмент «Дефишер». Его предлагали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По сведениям Correctiv, поставщиком выступал молодой фрилансер из Москвы. Изначально продукт предназначался для киберпреступников, однако примерно год назад, по оценке опрошенных экспертов по информационной безопасности, им начали активно пользоваться и структуры, которые относят к спонсируемым государством российским хакерам.
Эксперты по ИТ‑безопасности полагают, что к кампании может быть причастна группировка UNC5792, которую ранее уже обвиняли в проведении аналогичных фишинговых операций против различных стран.
Годом ранее аналитики компании Google публиковали отчет, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и одноразовые коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
