За масштабной кампанией по взлому аккаунтов в мессенджерах могут стоять российские хакеры, связанные с государственными структурами, считают специалисты по кибербезопасности.
Иностранные политики, правительственные чиновники и журналисты в разных странах стали жертвами целевой кампании по взлому аккаунтов в Signal. Журналисты‑расследователи обнаружили цифровые следы, указывающие на участие спонсируемых государством российских хакеров.
Жертвам приходили сообщения от профиля с ником Signal Support. В них утверждалось, что учетная запись якобы находится под угрозой, и предлагалось ввести PIN‑код, присланный приложением. После ввода кода злоумышленники получали контроль над аккаунтом, могли просматривать контакты и читать входящие сообщения.
Кроме того, хакеры рассылали ссылки, стилизованные под приглашения в канал в WhatsApp, которые на самом деле перенаправляли пользователей на фишинговые сайты.
Среди пострадавших оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также о потере доступа к своему аккаунту сообщал англо‑американский финансист и критик российских властей Билл Браудер.
О попытках завладеть учетными записями высокопоставленных лиц и военнослужащих в Signal и WhatsApp ранее предупреждала и спецслужба Нидерландов. Там связали кампанию с российскими спецслужбами, однако прямых доказательств не представили. Аналогичное предупреждение публиковало и ФБР США.
Представители Signal заявили, что знают о подобных фишинговых атаках и относятся к ним крайне серьезно, но подчеркнули, что речь не идет об уязвимости в системе шифрования мессенджера.
Расследование показало, что фишинговые сайты размещались на серверах хостинг‑провайдера Aeza. Эта инфраструктура уже ранее использовалась для проведения пропагандистских и криминальных кампаний, которые, по данным экспертов, курировались российскими госструктурами. Сам хостинг‑провайдер и его основатель находятся под санкциями США и Великобритании.
В веб‑страницы был встроен специальный фишинговый инструмент под названием «Дефишер». Он рекламировался на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным расследователей, поставщиком инструмента является молодой фрилансер из Москвы. Изначально «Дефишер» создавался для обычных киберпреступников, но примерно год назад им начали активно пользоваться и спонсируемые государством российские хакерские группировки, что подтверждают специалисты по информационной безопасности.
Эксперты считают, что за кампанией может стоять хакерская группировка UNC5792, которую уже обвиняли в организации аналогичных фишинговых операций в других странах.
Около года назад аналитики Google публиковали отчет, в котором говорилось, что UNC5792 рассылала украинским военнослужащим фишинговые ссылки и коды для входа, пытаясь получить доступ к их аккаунтам в мессенджерах.
