По всему миру политики, государственные чиновники и журналисты столкнулись с целенаправленной кампанией по взлому аккаунтов в мессенджере Signal, а также с фишинговыми атаками через ссылки, стилизованные под приглашения в WhatsApp. Анализ цифровых следов указывает на возможную причастность подконтрольных государству российских хакеров.
Жертвам приходили сообщения от профиля с именем Signal Support. В них утверждалось, что учетная запись якобы находится под угрозой, и пользователю предлагали ввести PIN‑код, отправленный приложением. После ввода кода злоумышленники получали контроль над аккаунтом, доступ к списку контактов и входящим сообщениям.
Кроме того, адресатам рассылали ссылки, замаскированные под приглашение в канал WhatsApp. На деле они перенаправляли пользователей на фишинговые сайты, созданные для хищения данных.
Среди тех, кто пострадал от кампании, оказался бывший заместитель главы немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также сообщил о потере доступа к своему аккаунту англо‑американский инвестор и давний критик Кремля Билл Браудер.
О попытках захвата аккаунтов высокопоставленных лиц и военных в Signal и WhatsApp публично заявила и разведывательная служба Нидерландов, связав кампанию с российскими спецслужбами, однако без представления технических доказательств. Похожие выводы об атаке опубликовало и ФБР США.
Представители Signal подтвердили, что знают о происходящем и относятся к нему крайне серьезно. При этом в компании подчеркнули, что проблема не связана с уязвимостью шифрования, а основана на социальной инженерии — обмане пользователей.
Расследователям удалось установить, что фишинговые сайты размещались на серверах хостинг‑провайдера Aeza. Этот провайдер ранее уже фигурировал в кампаниях, которые эксперты связывали с российской пропагандой и киберпреступной активностью при участии государственных структур. И сама компания, и ее основатель находятся под санкциями США и Великобритании.
Во вредоносные сайты был встроен фишинговый инструмент «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. Поставщиком решения, по данным расследователей, является молодой фрилансер из Москвы. Изначально инструмент создавался для обычных киберпреступников, однако примерно год назад его начали активно использовать и спонсируемые государством хакерские группы, специализирующиеся на атаках против зарубежных целей, утверждают эксперты по информационной безопасности.
По оценке специалистов в области кибербезопасности, за кампанией вполне может стоять группировка UNC5792, ранее обвинявшаяся в организации схожих фишинговых операций в других странах.
Около года назад аналитики Google публиковали исследование, в котором приводились данные о работе UNC5792 против украинских военных. Тогда группа рассылала фишинговые ссылки и коды подтверждения с целью перехвата доступа к аккаунтам в мессенджерах.
