Иностранные политики, высокопоставленные чиновники и журналисты в разных странах подверглись масштабной кампании по взлому аккаунтов в мессенджере Signal, а также попыткам перехвата доступа к их страницам в других сервисах обмена сообщениями.
По данным расследователей, за этой кампанией могут стоять спонсируемые государством российские хакеры. Целями атак становились в том числе представители органов безопасности, правительства и известные общественные деятели.
Пострадавшие пользователи получали сообщения от профиля с ником Signal Support. В них утверждалось, что учетная запись якобы находится под угрозой и для защиты необходимо ввести PIN‑код, отправленный приложением. После передачи кода злоумышленники получали контроль над учетной записью, могли просматривать список контактов и читать входящие сообщения.
Кроме того, жертвам рассылали ссылки, оформленные как приглашения в канал WhatsApp. На деле они вели на фишинговые сайты, созданные для кражи данных пользователей.
Среди пострадавших оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также о потере своего аккаунта сообщал англо‑американский инвестор и критик российских властей Билл Браудер.
О попытках завладеть аккаунтами высокопоставленных лиц и военнослужащих в Signal и WhatsApp ранее информировала разведывательная служба Нидерландов, которая связала кампанию с российскими спецслужбами, не представив при этом публичных технических доказательств. Аналогичное предупреждение публиковало и ФБР США.
Представители Signal заявили, что осведомлены о происходящем и относятся к проблеме крайне серьезно. При этом они подчеркнули, что речь не идет о взломе или уязвимости системы шифрования мессенджера: злоумышленники эксплуатируют доверие пользователей и механизмы восстановления доступа.
Расследователям удалось установить, что фишинговые сайты размещались на серверах хостинг‑провайдера Aeza. Этот провайдер уже фигурировал в прошлых информационных и кибероперациях, которые связывали с российскими государственными структурами. И компания, и ее основатель находятся под санкциями США и Великобритании.
В фишинговые сайты был встроен специализированный инструмент «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным расследования, разработчиком инструмента является молодой фрилансер из Москвы. Изначально «Дефишер» создавался для обычных киберпреступников, однако около года назад, по оценке экспертов по информационной безопасности, его начали активно использовать и структуры, которые связывают с государственно спонсируемыми группами.
Эксперты по кибербезопасности полагают, что за кампанией может стоять группировка UNC5792, которой ранее приписывали аналогичные фишинговые операции против пользователей в других странах.
Ранее аналитики Google публиковали отчет, в котором говорилось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
