Иностранные политики, высокопоставленные чиновники и журналисты в разных странах столкнулись с масштабной кампанией взлома аккаунтов в мессенджере Signal. Цифровые улики, собранные журналистами‑расследователями, указывают на причастность к атаке российских хакеров, действующих при поддержке государства.
Как действовали злоумышленники
Пострадавшие получали сообщения от профиля с именем Signal Support. В этих уведомлениях утверждалось, что их учетная запись якобы под угрозой, и для защиты нужно ввести PIN‑код, отправленный приложением. После передачи кода хакеры получали контроль над аккаунтом, доступ к списку контактов и входящим сообщениям.
Кроме того, жертвам высылали ссылки, оформленные как приглашения в канал WhatsApp. На деле переход вел на фишинговые сайты, созданные для кражи данных.
Кто пострадал
Среди жертв кампании оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также свой аккаунт потерял англо‑американский инвестор и критик российских властей Билл Браудер.
Подозрения спецслужб
О попытках завладеть аккаунтами высокопоставленных лиц и военнослужащих в Signal и WhatsApp ранее сообщала разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, хотя прямых доказательств не представили. Аналогичное предупреждение опубликовало и ФБР США.
Реакция Signal
Представители мессенджера заявили, что осведомлены о происходящем и относятся к атаке крайне серьезно. При этом компания подчеркнула, что речь идет не о взломе шифрования, а о социальной инженерии и фишинге, когда пользователи сами передают коды злоумышленникам.
Инфраструктура атаки и инструмент «Дефишер»
Расследователи установили, что ссылки из сообщений вели на сайты, размещенные на серверах хостинг‑провайдера Aeza. Эта площадка уже использовалась в прошлых пропагандистских и криминальных операциях, связанных с Россией и поддерживаемых государством. Сам хостинг и его основатель находятся под санкциями США и Великобритании.
Во вредоносные сайты был встроен фишинговый инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным расследователей, разработчиком является молодой фрилансер из Москвы. Сначала «Дефишер» предлагался киберпреступникам, но примерно год назад им начали пользоваться и группы, связанные с государством, отмечают эксперты по информационной безопасности.
Предполагаемая хакерская группировка
Специалисты по кибербезопасности считают, что за кампанией может стоять группировка UNC5792, ранее уже обвинявшаяся в проведении схожих фишинговых операций в других странах.
Около года назад аналитики Google публиковали исследование, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и одноразовые коды входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
