Политики, высокопоставленные чиновники и журналисты в разных странах стали жертвами масштабной фишинговой кампании по захвату аккаунтов в мессенджере Signal. Цифровые следы, проанализированные зарубежными исследователями, указывают на возможную причастность российских хакеров, предположительно действующих при поддержке государственных структур.
По данным журналистского расследования, пользователи получали сообщения от профиля с ником Signal Support. В них утверждалось, что их учетная запись якобы находится под угрозой, и предлагалось ввести PIN‑код, отправленный приложением. После ввода кода злоумышленники получали возможность перехватить аккаунт, просматривать список контактов и читать входящие сообщения.
Кроме того, жертвам рассылали ссылки, выглядевшие как приглашение в канал WhatsApp, но фактически ведущие на фишинговые сайты.
Среди пострадавших оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также о потере доступа к своему аккаунту заявлял англо‑американский финансист и давний критик российских властей Билл Браудер.
О попытках захвата аккаунтов высокопоставленных лиц и военнослужащих в Signal и WhatsApp ранее сообщала и разведывательная служба Нидерландов. Там кампанию связали с российскими спецслужбами, однако конкретных технических доказательств не привели. Похожее предупреждение выпускало и американское ФБР, указывая на интерес российских структур к взлому коммерческих мессенджеров.
Представители Signal заявили, что осведомлены о проблеме и относятся к ней максимально серьезно. При этом в компании подчеркнули, что речь не идет о взломе системы шифрования — атака строится на социальной инженерии и перехвате кода подтверждения.
Расследователям удалось установить, что сайты, на которые вели фишинговые ссылки, были размещены на серверах хостинг‑провайдера Aeza. Этот провайдер ранее уже фигурировал в связи с пропагандистскими и преступными киберкампаниями, приписываемыми российским госструктурам. И сама компания, и ее основатель находятся под санкциями США и Великобритании.
Во фишинговые веб‑сайты был встроен специальный инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным журналистов и экспертов, разработчиком инструмента является молодой фрилансер из Москвы. Изначально «Дефишер» создавался для обычных киберпреступников, однако примерно год назад им начали активно пользоваться хакерские группы, которых эксперты считают подконтрольными государственным структурам.
Эксперты по информационной безопасности полагают, что за нынешней кампанией может стоять группировка UNC5792, которую ранее обвиняли в организации аналогичных фишинговых операций в других странах.
Около года назад аналитики Google публиковали отчет, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и коды входа украинским военнослужащим, пытаясь получить доступ к их учетным записям в мессенджерах.
