Иностранные политики, государственные чиновники и журналисты в разных странах столкнулись с масштабной кампанией по взлому аккаунтов в мессенджере Signal. Расследование международных журналистов указывает на возможную причастность российских хакеров, действующих при поддержке государства.
Жертвам приходили сообщения от профиля с именем Signal Support. В текстах утверждалось, что их учетные записи якобы находятся под угрозой, и предлагалось ввести PIN‑код, отправленный приложением. После передачи кода злоумышленники могли перехватывать аккаунт, получать доступ к контактам и читать входящие сообщения.
Кроме того, хакеры рассылали ссылки, оформленные как приглашения в канал WhatsApp, которые на деле вели на фишинговые сайты.
Среди пострадавших — бывший заместитель главы Федеральной разведывательной службы Германии (BND) Арндт Фрейтаг фон Лоринговен. Также о потере доступа к своему аккаунту заявлял известный англо‑американский критик российской власти Билл Браудер.
О попытках захвата страниц высокопоставленных лиц и военных в Signal и WhatsApp сообщила и разведывательная служба Нидерландов. Там сочли, что кампания связана с российскими спецслужбами, однако конкретных доказательств не представили. Похожее предупреждение выпустило и Федеральное бюро расследований США.
Руководство Signal заявило, что осведомлено о происходящем и относится к инцидентам предельно серьезно. При этом в компании подчеркнули: речь идет не об уязвимости системы шифрования, а о социальной инженерии и фишинговых атаках.
Журналистам удалось установить, что фишинговые сайты размещались на серверах хостинг‑провайдера Aeza. Этот сервис ранее уже фигурировал в расследованиях о российских пропагандистских и преступных операциях, связанных с государственными структурами. В настоящее время Aeza и ее основатель находятся под санкциями США и Великобритании.
В страницы, на которые вели рассылки, был встроен фишинговый инструмент «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным расследователей, разработчиком инструмента является молодой фрилансер из Москвы. Изначально «Дефишер» предназначался для обычных киберпреступников, но примерно год назад им начали активно пользоваться хакерские группы, которые, по оценке экспертов по информационной безопасности, работают в интересах российских государственных структур.
Специалисты по ИБ считают, что за нынешней кампанией может стоять группировка UNC5792, которую ранее обвиняли в аналогичных фишинговых операциях в разных странах.
Около года назад аналитики Google публиковали отчет, в котором утверждалось, что UNC5792 рассылала украинским военнослужащим фишинговые ссылки и коды подтверждения для входа в их аккаунты.
