Политики, государственные чиновники и журналисты из разных стран столкнулись с масштабной кампанией по взлому аккаунтов в мессенджере Signal. Цифровые улики, собранные зарубежными расследователями и специалистами по кибербезопасности, указывают на участие российских хакеров, которых считают подконтрольными государственным структурам.
Жертвам рассылали сообщения от профиля с названием Signal Support. В этих уведомлениях утверждалось, что их учётная запись якобы находится под угрозой, и предлагалось ввести PIN‑код, отправленный приложением. После ввода кода злоумышленники получали доступ к аккаунту, могли просматривать контакты и читать входящие сообщения.
Кроме того, пользователям приходили ссылки, замаскированные под приглашение в канал WhatsApp, которые на деле перенаправляли на фишинговые сайты.
Среди потерпевших оказался бывший вице‑президент Федеральной разведывательной службы Германии (BND) Арндт Фрейтаг фон Лоринговен. Также о захвате своего аккаунта заявил англо‑американский инвестор и давний критик российских властей Билл Браудер.
О попытках завладеть страницами высокопоставленных чиновников и военных в Signal и WhatsApp сообщила и разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, однако конкретных доказательств в открытых материалах не привели. Похожее предупреждение опубликовало и ФБР США, указав на интерес российских структур к коммерческим мессенджерам.
Руководство Signal заявило, что в курсе происходящего и относится к инцидентам максимально серьёзно. При этом в компании подчёркивают: речь идёт не о взломе системы шифрования, а о классической социальной инженерии и фишинге, нацеленных на самих пользователей.
Журналисты и эксперты выяснили, что сайты, на которые вели вредоносные ссылки, размещались на серверах хостинг‑провайдера Aeza. Этот провайдер уже ранее фигурировал в расследованиях как площадка для российских пропагандистских и преступных операций, которые связывают с госструктурами. В настоящее время Aeza и её основатель находятся под санкциями США и Великобритании.
Во фишинговые страницы был встроен специализированный инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах ещё в 2024 году по цене около 690 долларов. По данным расследователей, разработчиком инструмента является молодой фрилансер из Москвы. Изначально продукт создавался для киберпреступников, однако около года назад его, по оценке специалистов по информационной безопасности, начали активно использовать и хакерские группы, которые считают подконтрольными российскому государству.
Эксперты по кибербезопасности полагают, что за нынешней кампанией может стоять группировка UNC5792. Эту структуру уже обвиняли в проведении схожих фишинговых операций в различных странах.
Ранее аналитики Google публиковали отчёт, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
