К масштабной кампании по взлому аккаунтов в мессенджерах, по данным экспертов, могут быть причастны российские хакеры, связанные с государственными структурами.
Иностранные политики, правительственные чиновники и журналисты в разных странах стали жертвами скоординированной кампании по захвату аккаунтов в Signal. Немецкое издание Correctiv сообщило о цифровых признаках, указывающих на участие спонсируемых государством российских хакеров.
Жертвам приходили сообщения от профиля с ником Signal Support. В текстах утверждалось, что их учетная запись якобы под угрозой, и предлагалось ввести PIN‑код, отправленный приложением. После передачи PIN злоумышленники получали контроль над аккаунтом, могли просматривать контакты и читать входящие сообщения.
Кроме того, участники кампании рассылали ссылки, замаскированные под приглашения в канал WhatsApp, но фактически ведущие на фишинговые сайты.
Среди пострадавших оказался бывший вице‑президент германской разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также доступ к своему аккаунту утратил англо‑американский инвестор и критик российских властей Билл Браудер.
О попытках захвата страниц высокопоставленных представителей и военнослужащих в Signal и WhatsApp также заявила разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, однако не представили публичных доказательств. Похожее предупреждение опубликовало и ФБР США.
Представители Signal подтвердили, что осведомлены о проблеме и воспринимают её крайне серьезно, подчеркнув при этом, что речь не идет о компрометации системы шифрования мессенджера.
По данным Correctiv, сайты, на которые вели вредоносные ссылки, были размещены на серверах хостинг‑провайдера Aeza. Этот сервис уже ранее фигурировал в расследованиях о проведении спонсируемых государством российских пропагандистских и криминальных операций. В настоящее время Aeza и её основатель находятся под санкциями США и Великобритании.
Во вредоносные веб‑страницы был встроен фишинговый инструмент «Дефишер». Его рекламировали на российских хакерских форумах ещё в 2024 году по цене около 690 долларов. Correctiv пишет, что разработчик — молодой фрилансер из Москвы. Изначально «Дефишер» создавался для киберпреступников, однако примерно год назад им стали активно пользоваться и спонсируемые государством хакерские группы, отмечают эксперты по информационной безопасности.
Специалисты по кибербезопасности полагают, что за кампанией может стоять группировка UNC5792, ранее обвинявшаяся в проведении аналогичных фишинговых операций в разных странах.
Около года назад аналитики Google публиковали отчет, согласно которому UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам.
