По всему миру политики, представители госструктур и журналисты стали жертвами масштабной фишинговой кампании, нацеленной на взлом аккаунтов в мессенджере Signal. Цифровые улики указывают на возможное участие российских хакеров, связанных с государственными структурами.
Жертвам приходили сообщения от профиля с названием Signal Support. В тексте утверждалось, что их учётная запись якобы находится под угрозой, и предлагалось ввести PIN‑код, отправленный приложением. После ввода кода злоумышленники получали контроль над аккаунтом, могли просматривать контакты и читать входящие сообщения.
Кроме того, пострадавшим рассылали ссылки, выглядевшие как приглашение в канал WhatsApp, но на самом деле ведущие на фишинговые сайты.
В числе жертв кампании оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также о захвате своего аккаунта сообщал англо‑американский бизнесмен и критик российских властей Билл Браудер.
О попытках получить доступ к аккаунтам высокопоставленных лиц и военнослужащих в Signal и WhatsApp ранее информировала и разведывательная служба Нидерландов. Там связали атаку с российскими спецслужбами, однако публичных доказательств не представили. Схожее предупреждение публиковало и ФБР США.
Представители Signal заявили, что осведомлены о проблеме и относятся к ней «чрезвычайно серьёзно», при этом подчеркнули: речь не идёт об уязвимости системы шифрования мессенджера — злоумышленники эксплуатируют социальную инженерию и доверие пользователей.
Журналистам удалось установить, что фишинговые сайты, на которые вели присылаемые ссылки, размещались на серверах хостинг‑провайдера Aeza. Эта инфраструктура ранее уже фигурировала в расследованиях как платформа для пропагандистских и преступных онлайн‑операций, приписываемых России. Сам провайдер и его основатель находятся под санкциями США и Великобритании.
В веб‑страницы был встроен специальный фишинговый инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах ещё в 2024 году по цене около 690 долларов. По данным расследователей, разработчиком инструмента является молодой фрилансер из Москвы. Первоначально «Дефишер» создавался для киберпреступников, но примерно год назад его начали активно использовать и спонсируемые государством хакерские группы, что подтверждают опрошенные эксперты по информационной безопасности.
Специалисты по кибербезопасности считают, что за нынешней кампанией может стоять группировка UNC5792, ранее уже подозревавшаяся в проведении схожих фишинговых операций в разных странах.
Год назад аналитики Google публиковали доклад, в котором указывалось, что UNC5792 рассылала фишинговые ссылки и коды подтверждения украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
