По данным журналистских расследований и специалистов по кибербезопасности, за масштабной кампанией по взлому аккаунтов в мессенджере Signal могут стоять российские хакеры, связанные с государственными структурами.
Иностранные политики, правительственные чиновники и журналисты из разных стран стали жертвами кампании по взлому аккаунтов в Signal. Расследование немецкого медиа Correctiv зафиксировало признаки того, что за этим могут стоять спонсируемые государством российские хакерские группы.
Пользователям приходили сообщения от профиля с ником Signal Support. В этих уведомлениях утверждалось, что их учетная запись якобы под угрозой и для защиты необходимо ввести PIN‑код, отправленный приложением. Введенные данные позволяли злоумышленникам перехватывать учетную запись, просматривать список контактов и читать входящие сообщения.
Кроме того, жертвам рассылали ссылки, внешне похожие на приглашения в канал WhatsApp, но на деле ведущие на фишинговые сайты.
Среди пострадавших оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также о потере доступа к своему аккаунту заявил англо‑американский инвестор и критик российских властей Билл Браудер.
О попытках завладеть аккаунтами высокопоставленных лиц и военных в Signal и WhatsApp ранее предупреждала и разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, однако публичных доказательств не представили. Похожее заявление опубликовало и ФБР США.
Команда Signal сообщила, что осведомлена о происходящем и относится к инцидентам крайне серьезно, при этом подчеркнула, что проблема не связана с уязвимостью шифрования переписки.
Correctiv установило, что сайты, на которые вели отправляемые ссылки, были размещены на серверах хостинг‑провайдера Aeza. Эта компания уже ранее фигурировала в расследованиях как инфраструктура для российских пропагандистских и криминальных кампаний, которые, по данным источников, спонсировались государством. На Aeza и ее основателя наложены санкции США и Великобритании.
Во взломанные сайты был встроен фишинговый инструмент «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По информации Correctiv, разработчиком является молодой фрилансер из Москвы. Изначально инструмент предназначался для обычных киберпреступников, однако примерно год назад спонсируемые государством российские хакеры начали интегрировать «Дефишер» в свои операции, утверждают эксперты по информационной безопасности.
По оценке специалистов по кибербезопасности, за этой кампанией может стоять хакерская группировка UNC5792, которую уже обвиняли в организации аналогичных фишинговых атак в других странах.
Ранее аналитики Google публиковали отчет, в котором говорилось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
