За масштабной фишинговой кампанией во мессенджерах могут стоять российские хакеры, предположительно связанные с государственными структурами.
Мировые политики и журналисты стали жертвами взлома аккаунтов
Иностранные политики, правительственные чиновники и журналисты по всему миру стали жертвами кампании по компрометации аккаунтов в Signal. Журналисты и специалисты по кибербезопасности обнаружили признаки того, что за этими атаками могут стоять спонсируемые государством российские хакеры.
Как работала схема захвата аккаунтов в Signal
Пользователи получали сообщения от профиля под названием Signal Support, в которых утверждалось, что их учётная запись якобы находится под угрозой. Адресатам предлагалось ввести PIN‑код, присланный приложением. Введённый код позволял злоумышленникам перехватывать учётные записи, просматривать список контактов и читать входящие сообщения.
Кроме того, жертвам рассылали ссылки, замаскированные под приглашения в каналы WhatsApp. На деле эти URL перенаправляли пользователей на фишинговые сайты.
Известные пострадавшие
Среди жертв кампании оказался бывший вице‑президент Федеральной разведывательной службы Германии (BND) Арндт Фрейтаг фон Лоринговен. Также о потере своего аккаунта в Signal сообщал англо‑американский финансист и известный критик российских властей Билл Браудер.
Сообщения спецслужб Нидерландов и США
О попытках захвата аккаунтов высокопоставленных лиц и военнослужащих в Signal и WhatsApp публично заявляла разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, однако конкретных технических доказательств не привели. Похожее предупреждение публиковало и ФБР США, указав на нацеливание российских разведструктур на коммерческие мессенджеры.
Позиция разработчиков Signal
Представители Signal заявили, что осведомлены о проблеме и относятся к ней крайне серьёзно. При этом разработчики подчеркнули, что речь идёт не об уязвимости в самом механизме шифрования, а о социальной инженерии и обмане пользователей.
Инфраструктура атаки: хостинг под санкциями и фишинговый инструмент «Дефишер»
Журналистам удалось установить, что сайты, на которые вели фишинговые ссылки, размещались на серверах хостинг‑провайдера Aeza. Эта компания ранее уже фигурировала в связи с российскими пропагандистскими и преступными кампаниями, которые связывали с госструктурами. Хостер Aeza и его основатель находятся под санкциями США и Великобритании.
Во фишинговые сайты был встроен специальный инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах ещё в 2024 году по цене около 690 долларов США. По данным расследователей, поставщик решения — молодой фрилансер из Москвы. Изначально «Дефишер» создавался для обычных киберпреступников, однако примерно год назад им начали активно пользоваться и группы, которые эксперты связывают с российскими госструктурами.
Подозрения в адрес группировки UNC5792
Специалисты по информационной безопасности полагают, что за кампанией может стоять хакерская группировка UNC5792, ранее обвинявшаяся в организации аналогичных фишинговых операций в ряде стран.
Около года назад аналитики Google публиковали отчёт, в котором говорилось, что UNC5792 рассылала фишинговые ссылки и коды подтверждения украинским военнослужащим с целью получить доступ к их аккаунтам в мессенджерах.
