Иностранные политики, высокопоставленные чиновники и журналисты в разных странах столкнулись с масштабной кампанией по взлому аккаунтов в мессенджере Signal, которая, по данным расследователей и спецслужб, может быть связана с российскими государственными структурами.
Как работала схема взлома
Пользователи получали сообщения от профиля с ником Signal Support, в которых утверждалось, что их учётная запись якобы находится под угрозой и для защиты необходимо ввести PIN‑код, отправленный приложением. После ввода кода злоумышленники получали контроль над учётной записью, могли просматривать контакты и читать входящие сообщения.
Дополнительно жертвам рассылали ссылки, которые напоминали приглашение в канал WhatsApp, но на самом деле перенаправляли на фишинговые сайты.
Кто пострадал от атак
Среди жертв кампании оказался бывший вице‑президент Федеральной разведывательной службы Германии (BND) Арндт Фрейтаг фон Лоринговен. Кроме того, доступ к своему аккаунту потерял англо‑американский финансист и давний критик Кремля Билл Браудер.
О попытках захватить аккаунты высокопоставленных лиц и военных в Signal и WhatsApp также сообщили в разведывательной службе Нидерландов. Там связали кампанию с российскими спецслужбами, однако конкретных доказательств публично не представили. Похожее заявление опубликовало и американское ФБР.
Реакция Signal
Представители Signal заявили, что им известно о проблеме и они относятся к ней крайне серьёзно, но подчеркнули, что речь не идёт о взломе шифрования мессенджера — атаки основаны на социальной инженерии и фишинге.
Инфраструктура атак и инструмент «Дефишер»
Расследователям удалось установить, что сайты, на которые вели вредоносные ссылки, были размещены на серверах хостинг‑провайдера Aeza. Эта площадка ранее фигурировала в кампаниях, которые западные власти и эксперты связывали с российской государственной пропагандой и киберпреступной деятельностью. Компании Aeza и её основателю уже введены санкции США и Великобритании.
В используемые веб‑сайты был встроен фишинговый инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах ещё в 2024 году по цене около 690 долларов. По данным расследователей, поставщиком инструмента является молодой фрилансер из Москвы. Изначально «Дефишер» создавался для обычных киберпреступников, но примерно год назад, по оценке экспертов в области информационной безопасности, им начали пользоваться и хакеры, которых связывают с российскими госструктурами.
Подозрения в адрес группировки UNC5792
Специалисты по кибербезопасности считают, что за нынешней кампанией может стоять хакерская группировка UNC5792, которую ранее обвиняли в проведении аналогичных фишинговых операций в разных странах.
Год назад аналитики Google публиковали отчёт, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
