По данным расследователей, за масштабной кампанией по взлому аккаунтов в мессенджерах могут стоять российские хакеры, предположительно связанные с государственными структурами.
Иностранные политики, правительственные чиновники и журналисты в разных странах мира стали объектами целевой кампании по захвату аккаунтов в Signal. Немецкое расследовательское издание сообщило о цифровых следах, которые указывают на участие спонсируемых государством российских хакеров.
Пользователям приходили сообщения от профиля с ником Signal Support. В уведомлениях утверждалось, что их учетная запись якобы под угрозой, и предлагалось ввести PIN‑код, отправленный приложением. После передачи кода злоумышленники могли перехватывать учетную запись, просматривать список контактов и читать входящие сообщения.
Кроме того, жертвам рассылались ссылки, замаскированные под приглашения в канал WhatsApp. На самом деле они вели на фишинговые сайты, созданные для кражи данных.
Среди пострадавших от этой кампании оказался бывший вице‑президент немецкой внешней разведки BND Арндт Фрейтаг фон Лоринговен. Также о потере доступа к своему аккаунту заявлял англо‑американский инвестор и критик Кремля Билл Браудер.
О попытках получить контроль над страницами высокопоставленных лиц и военнослужащих в Signal и WhatsApp ранее предупреждала и служба разведки Нидерландов. Там связали кампанию с российскими спецслужбами, однако конкретных доказательств не представили. Похожее заявление опубликовало и ФБР США.
Разработчики Signal подтвердили, что осведомлены о происходящем и воспринимают угрозу всерьез. При этом они подчеркнули, что речь идет не о взломе шифрования, а об использовании методов социальной инженерии и перехвате кода доступа.
Журналисты выяснили, что сайты, на которые вели фишинговые ссылки, размещались на серверах хостинг‑провайдера Aeza. Этот провайдер ранее уже фигурировал в историях о пропагандистских и преступных операциях, приписываемых российским структурам. И сама компания, и ее основатель находятся под санкциями США и Великобритании.
В вредоносные веб‑страницы был встроен фишинговый инструмент «Дефишер». Его еще в 2024 году рекламировали на российских хакерских форумах по цене около $690. По данным расследователей, поставщиком является молодой фрилансер из Москвы. Первоначально этот инструмент создавался для киберпреступников, однако примерно год назад его начали активно интегрировать в свои операции и группы, которые эксперты считают спонсируемыми государством.
Специалисты по кибербезопасности предполагают, что за нынешней кампанией может стоять хакерская группировка UNC5792, ранее обвинявшаяся в проведении похожих фишинговых атак в других странах.
Около года назад аналитики Google публиковали отчет, где утверждалось, что UNC5792 рассылала фишинговые ссылки и коды входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
