Иностранные политики, государственные чиновники и журналисты в разных странах стали жертвами масштабной кампании по взлому аккаунтов в мессенджере Signal. Расследование немецкого проекта Correctiv указывает на возможную причастность к атаке российских хакеров, которых эксперты считают связанными с государственными структурами.
По данным расследователей, пользователям приходили сообщения от профиля с ником Signal Support. В них утверждалось, что учетная запись находится под угрозой и для ее защиты необходимо ввести PIN‑код, якобы отправленный приложением. Введенные данные позволяли злоумышленникам перехватывать аккаунт, получать доступ к контактам и читать входящие сообщения.
Кроме того, жертвам рассылали ссылки, похожие на приглашения в чат WhatsApp, но на самом деле ведущие на фишинговые сайты.
Среди пострадавших оказался бывший вице‑президент германской разведслужбы BND Арндт Фрейтаг фон Лоринговен. О потере своего аккаунта сообщил и англо‑американский финансист и критик российских властей Билл Браудер.
О попытках получить доступ к аккаунтам высокопоставленных лиц и военных в Signal и WhatsApp ранее предупреждала и служба разведки Нидерландов. Там связали кампанию с российскими спецслужбами, однако не привели технических доказательств. Похожее заявление опубликовало и ФБР США.
Представители Signal заявили, что знают о проблеме и относятся к ней крайне серьезно, подчеркнув при этом, что атака не связана с уязвимостью используемого в мессенджере шифрования.
По сведениям Correctiv, фишинговые сайты размещались на серверах хостинг‑провайдера Aeza. Этот провайдер ранее фигурировал в расследованиях о проведении пропагандистских и преступных онлайн‑кампаний, которые, по оценке специалистов, поддерживались российскими государственными структурами. В настоящее время Aeza и ее основатель находятся под санкциями США и Великобритании.
В страницы, на которые вели вредоносные ссылки, был встроен фишинговый инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным Correctiv, поставщик инструмента — молодой фрилансер из Москвы. Изначально «Дефишер» разрабатывался для киберпреступников, однако примерно год назад его начали активно использовать и хакерские структуры, которые эксперты относят к числу спонсируемых государством.
Специалисты по кибербезопасности полагают, что за нынешней кампанией может стоять группировка UNC5792, ранее обвинявшаяся в организации аналогичных фишинговых атак в других странах.
Около года назад аналитики Google публиковали отчет, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим.
