Во многих странах зафиксирована масштабная кампания взлома аккаунтов в мессенджере Signal, от которой пострадали иностранные политики, сотрудники госструктур и журналисты. Расследование немецкого издания Correctiv указывает на возможную причастность к атаке российских хакеров, действующих при поддержке государства.
Жертвам приходили сообщения от профиля с именем Signal Support. В тексте утверждалось, что их учетная запись якобы находится под угрозой, и для сохранения доступа нужно ввести PIN‑код, отправленный приложением. После передачи кода злоумышленники могли перехватывать учетную запись, просматривать список контактов и читать входящие сообщения.
Кроме того, атакующие рассылали ссылки, замаскированные под приглашения в канал WhatsApp. На деле переход по ним приводил на фишинговые сайты.
Среди пострадавших оказался бывший заместитель руководителя немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также о потере доступа к своему аккаунту сообщил англо‑американский финансист и критик российских властей Билл Браудер.
О попытках захвата аккаунтов высокопоставленных лиц и военных в Signal и WhatsApp ранее информировала и разведывательная служба Нидерландов, связав кампанию с российскими спецслужбами, но без публикации технических доказательств. Похожее предупреждение выпускало и ФБР в США.
Руководство мессенджера Signal заявило, что осведомлено о проблеме и относится к ней максимально серьезно, при этом подчеркивая, что речь не идет о взломе системы шифрования или иной внутренней уязвимости сервиса.
По данным Correctiv, ссылки из рассылки вели на сайты, размещенные на серверах хостинг‑провайдера Aeza. Этот провайдер уже ранее фигурировал в расследованиях как инфраструктура для государственных российских пропагандистских и преступных киберкампаний. В настоящий момент Aeza и ее основатель находятся под санкциями США и Великобритании.
Во фишинговые веб‑сайты был встроен инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По информации Correctiv, разработчиком инструмента является молодой фрилансер из Москвы. Изначально «Дефишер» создавался для использования в киберпреступной среде, однако примерно год назад его начали применять и группы, которые специалисты относят к государственно спонсируемым российским хакерам.
Эксперты по информационной безопасности предполагают, что за нынешней кампанией может стоять группировка UNC5792, ранее обвинявшаяся в проведении аналогичных фишинговых операций в других странах.
Примером такой активности называют описанную год назад аналитиками Google кампанию, в ходе которой UNC5792 рассылала украинским военнослужащим фишинговые ссылки и поддельные коды для входа в учетные записи.
