По данным расследователей и экспертов по кибербезопасности, за масштабной кампанией по взлому аккаунтов в мессенджере Signal могут стоять российские хакеры, действующие при поддержке государственных структур.
Иностранные политики, правительственные чиновники и журналисты в разных странах стали жертвами целевой кампании по захвату аккаунтов в Signal. Жертвам рассылались сообщения, на основании которых расследователи пришли к выводу о возможной причастности к атаке российских хакеров, связанных с государственными структурами.
Пользователи получали сообщения от профиля с названием Signal Support, где утверждалось, что их учётная запись якобы под угрозой. Адресатов просили ввести PIN‑код, отправленный приложением. Введённый код позволял злоумышленникам перехватить учётную запись, просматривать контакты и читать входящие сообщения.
Кроме того, жертвам высылали ссылки, замаскированные под приглашения в канал WhatsApp. На деле они перенаправляли пользователей на фишинговые сайты.
Среди пострадавших — бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также потерял доступ к своему аккаунту англо‑американский финансист и известный критик российских властей Билл Браудер.
О попытках завладеть аккаунтами высокопоставленных лиц и военнослужащих в Signal и WhatsApp ранее сообщала разведывательная служба Нидерландов. Там предположили, что за кампанией стоят российские спецслужбы, однако публичных технических доказательств не привели. Аналогичное предупреждение опубликовало и ФБР США.
Представители Signal заявили, что знают о злоупотреблении их брендом в фишинговой кампании и относятся к происходящему крайне серьёзно. При этом компания подчеркнула, что речь не идёт о взломе или уязвимости в системе шифрования мессенджера.
Расследователям удалось установить, что сайты, на которые вели вредоносные ссылки, размещались на серверах хостинг‑провайдера Aeza. Этот провайдер уже фигурировал в материалах о российских пропагандистских и криминальных онлайн‑операциях, связанных с государственными структурами. В настоящее время Aeza и её основатель находятся под санкциями США и Великобритании.
Во вредоносные веб‑сайты был встроен фишинговый инструмент под названием «Дефишер». Он рекламировался на российских хакерских форумах ещё в 2024 году по цене около 690 долларов. По информации расследователей, разработчиком инструмента является молодой фрилансер из Москвы. Изначально «Дефишер» создавался для киберпреступников, однако примерно год назад его начали активно использовать и хакерские группы, которые, по данным экспертов по информационной безопасности, работают в интересах государства.
Эксперты по ИТ‑безопасности считают, что за нынешней кампанией может стоять хакерская группировка UNC5792, которую ранее обвиняли в проведении аналогичных фишинговых операций в разных странах.
Примерно год назад аналитики Google публиковали исследование, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим с целью получить доступ к их аккаунтам в мессенджерах.
