Иностранные политики, государственные чиновники и журналисты в разных странах стали жертвами масштабной кампании по взлому аккаунтов в мессенджере Signal. Немецкое издание Correctiv обнаружило признаки того, что за этой операцией могут стоять российские хакеры, предположительно действующие при поддержке государства.
Иллюстрация, созданная с использованием нейросетевых технологий
Как проходила атака на пользователей Signal
По данным расследователей, пользователям приходили сообщения якобы от службы поддержки под именем Signal Support. В них утверждалось, что учетная запись находится под угрозой, и предлагалось ввести PIN‑код, отправленный приложением. Если адресаты следовали инструкциям, злоумышленники получали возможность перехватить аккаунт, просматривать список контактов и читать входящие сообщения.
Дополнительно жертвам направлялись ссылки, замаскированные под приглашения в канал WhatsApp. На самом деле они вели на фишинговые сайты, созданные для кражи данных.
Кого затронула кампания
Среди пострадавших оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Кроме того, о потере своего аккаунта сообщил англо‑американский инвестор и давний критик Кремля Билл Браудер.
О попытках получить доступ к аккаунтам высокопоставленных лиц и военнослужащих в Signal и WhatsApp также заявила разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, но при этом не представили технические доказательства. Похожее предупреждение опубликовало и ФБР США.
Реакция Signal
Представители Signal подтвердили, что осведомлены о проводимой кампании и относятся к ситуации максимально серьезно. При этом компания подчеркнула, что речь не идет о компрометации шифрования или о технической уязвимости протокола: злоумышленники эксплуатировали доверие пользователей и механизмы восстановления доступа.
Инфраструктура фишинга и инструмент «Дефишер»
Как установило Correctiv, фишинговые сайты, на которые вели рассылки, были размещены на серверах хостинг‑провайдера Aeza. Эта площадка уже ранее фигурировала в расследованиях как инфраструктура для пропагандистских и криминальных кампаний, приписываемых России. Сам провайдер и его основатель находятся под санкциями США и Великобритании.
В сайты был встраиваемый фишинговый инструмент под названием «Дефишер». По информации расследователей, он рекламировался на российских хакерских форумах еще в 2024 году по цене около 690 долларов. Источники Correctiv утверждают, что разработчиком является молодой фрилансер из Москвы. Первоначально «Дефишер» создавался как инструмент для киберпреступников, но примерно год назад его, по данным экспертов по информационной безопасности, начали активно использовать и хакерские группы, связываемые с государственными структурами.
Подозрения на группировку UNC5792
По оценке специалистов по кибербезопасности, за нынешней кампанией может стоять группировка UNC5792, ранее подозревавшаяся в проведении аналогичных фишинговых операций в других странах.
Около года назад аналитики Google публиковали отчет, в котором утверждалось, что участники UNC5792 рассылали украинским военным фишинговые ссылки и коды подтверждения для входа в учетные записи. Текущая кампания, по версии экспертов, выглядит логичным продолжением таких операций, но уже с более широким кругом целей, включающим политиков и журналистов разных стран.
