Иностранные политики, государственные чиновники и журналисты в разных странах столкнулись с масштабной кампанией взлома аккаунтов в мессенджере Signal. Цифровые улики, проанализированные независимыми исследователями, указывают на участие российских хакеров, которых связывают с государственными структурами.
Как работала схема взлома Signal
Пользователям приходили сообщения от профиля с ником Signal Support. В них утверждалось, что их учетная запись якобы находится под угрозой, и предлагалось ввести PIN‑код, отправленный приложением. Введённый код позволял злоумышленникам захватывать учетную запись, просматривать список контактов и читать входящие сообщения.
Кроме того, жертвам рассылали ссылки, визуально похожие на приглашения в канал WhatsApp. На деле они перенаправляли пользователей на фишинговые сайты.
Кто стал жертвой атаки
Среди пострадавших оказался бывший вице‑президент Федеральной разведывательной службы Германии (BND) Арндт Фрейтаг фон Лоринговен. Также сообщалось, что доступ к своему аккаунту потерял англо‑американский бизнесмен и критик российских властей Билл Браудер.
Подозрения спецслужб и реакция Signal
О попытках получить контроль над аккаунтами высокопоставленных должностных лиц и военнослужащих в Signal и WhatsApp ранее информировала разведывательная служба Нидерландов, связав кампанию с российскими спецслужбами, но без публикации технических доказательств. Похожее предупреждение выпустило и ФБР США.
Представители Signal заявили, что осведомлены о проблеме и относятся к ней максимально серьёзно, подчеркнув при этом, что речь идёт не об уязвимости в системе шифрования, а о социальной инженерии и фишинге.
Фишинговые сайты и инструмент «Дефишер»
Исследователям удалось установить, что фишинговые сайты, на которые вели рассылки, размещались на серверах хостинг‑провайдера Aeza. Этот провайдер ранее фигурировал в расследованиях как платформа для размещения ресурсов, связанных с российскими пропагандистскими и криминальными кампаниями при поддержке государства. И сама компания, и её основатель уже находятся под санкциями США и Великобритании.
Во вредоносные сайты был встроен фишинговый инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах ещё в 2024 году по цене около 690 долларов. По данным исследователей, разработчиком инструмента является молодой фрилансер из Москвы. Изначально «Дефишер» создавался для обычных киберпреступников, но примерно год назад его начали активно использовать в операциях, которые приписывают хакерам, действующим в интересах государства.
Подозрения в адрес группы UNC5792
Эксперты по кибербезопасности полагают, что за нынешней кампанией может стоять хакерская группировка UNC5792, ранее обвинявшаяся в проведении аналогичных фишинговых операций в других странах.
Около года назад аналитики Google публиковали отчёт, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и коды доступа украинским военнослужащим, пытаясь получить контроль над их аккаунтами в мессенджерах.
