По всему миру иностранные политики, правительственные чиновники и журналисты стали мишенью координированной кампании по взлому аккаунтов в мессенджере Signal. Цифровые улики, собранные журналистами и экспертами по кибербезопасности, указывают на возможное участие спонсируемых государством российских хакеров.
Как работала схема взлома аккаунтов
Пользователи получали сообщения от профиля с именем Signal Support. В тексте утверждалось, что их учётная запись якобы находится под угрозой, и предлагалось ввести PIN‑код, отправленный приложением. После передачи кода злоумышленники получали контроль над аккаунтом, могли просматривать контакты и читать входящие сообщения.
Кроме того, жертвам рассылались ссылки, маскирующиеся под приглашения в канал WhatsApp. На деле эти URL перенаправляли на фишинговые сайты, созданные для кражи данных.
Кого удалось взломать
В числе пострадавших числится бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также о потере доступа к своему аккаунту сообщал англо‑американский финансист и критик Кремля Билл Браудер.
Подозрения спецслужб и реакция Signal
О попытках захвата страниц высокопоставленных чиновников и военных в Signal и WhatsApp ранее информировала служба разведки Нидерландов. Там связали кампанию с российскими спецслужбами, однако прямые доказательства публично не представили. Схожее предупреждение выпустило и ФБР США.
Представители Signal заявили, что знают о серии атак и относятся к ситуации «крайне серьёзно». При этом компания подчеркнула, что речь не идёт об уязвимости в системе шифрования — злоумышленники используют социальную инженерию и перехват одноразовых кодов.
Инфраструктура атаки и «Дефишер»
Исследователи установили, что фишинговые сайты, на которые вели вредоносные ссылки, размещались на серверах хостинг‑провайдера Aeza. Этот провайдер уже фигурировал в ряде кампаний, связанных с российской пропагандой и деятельностью киберпреступников, которым, по данным западных властей, оказывалась государственная поддержка. Компания и её основатель находятся под санкциями США и Великобритании.
В такие сайты был встроен специализированный фишинговый инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах ещё в 2024 году по цене около 690 долларов. По данным журналистов и экспертов по информационной безопасности, разработчиком выступает молодой фрилансер из Москвы. Изначально продукт предназначался для обычных киберпреступников, однако примерно год назад его начали активно использовать и хакерские группы, предположительно работающие в интересах российских госструктур.
Предполагаемая группа UNC5792
Специалисты по кибербезопасности считают, что за нынешней кампанией может стоять группировка UNC5792, ранее обвинявшаяся в проведении аналогичных фишинговых операций в разных странах.
Около года назад аналитики Google публиковали отчёт, в котором говорилось, что UNC5792 рассылала украинским военнослужащим фишинговые ссылки и коды для входа в аккаунты, в том числе в зашифрованных мессенджерах.
