К масштабной кампании по взлому аккаунтов в Signal, по данным специалистов, могут быть причастны хакеры из России, предположительно связанные с государственными структурами.
Иностранные политики, правительственные чиновники и журналисты в разных странах столкнулись с координированной атакой на их аккаунты в Signal. Немецкое расследовательское издание Correctiv обнаружило цифровые следы, указывающие на возможную причастность спонсируемых государством российских хакеров.
Жертвам приходили сообщения от профиля с именем Signal Support. В тексте утверждалось, что их учетная запись якобы находится под угрозой, и для защиты нужно ввести PIN‑код, отправленный приложением. После передачи кода злоумышленники получали контроль над аккаунтом, могли просматривать список контактов и читать входящие сообщения.
Кроме того, атакующие рассылали ссылки, замаскированные под приглашения в канал WhatsApp. На деле эти ссылки перенаправляли пользователей на фишинговые сайты.
Среди пострадавших оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также о потере доступа к своему аккаунту заявил англо‑американский финансист и давний критик Кремля Билл Браудер.
О попытках перехвата аккаунтов высокопоставленных лиц и военных в Signal и WhatsApp ранее сообщала служба разведки Нидерландов. Там предположили, что за кампанией стоят российские спецслужбы, но не предоставили технических доказательств. Похожее предупреждение опубликовало и ФБР США.
Представители Signal подтвердили, что им известно о происходящем и что они относятся к проблеме максимально серьезно. При этом в компании подчеркнули, что речь не идет об уязвимости системы шифрования мессенджера: злоумышленники эксплуатируют методы социальной инженерии и фишинга.
Correctiv удалось установить, что фишинговые сайты располагались на серверах хостинг‑провайдера Aeza. Этот провайдер уже ранее фигурировал в расследованиях как инфраструктура для государственных российских пропагандистских и киберпреступных кампаний. В настоящее время Aeza и ее основатель находятся под санкциями США и Великобритании.
Во вредоносные сайты был встроен инструмент для фишинга «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным Correctiv, разработчиком инструмента является молодой фрилансер из Москвы. Изначально «Дефишер» создавался для киберпреступников, однако примерно год назад государственно спонсируемые российские хакерские группы начали внедрять его в свои операции, утверждают эксперты по информационной безопасности, на которых ссылается издание.
По оценке специалистов по кибербезопасности, к проведению этой кампании может быть причастна группировка UNC5792, ранее обвинявшаяся в организации схожих фишинговых атак в других странах.
Год назад аналитики Google публиковали отчет, согласно которому UNC5792 рассылала украинским военнослужащим фишинговые ссылки и поддельные коды для входа, пытаясь получить доступ к их аккаунтам.
