За масштабной кампанией по взлому аккаунтов в мессенджерах могут стоять российские хакеры, предположительно связанные с государственными структурами.
Кого атакуют и как работает схема
Иностранные политики, правительственные чиновники и журналисты в разных странах стали жертвами кампании по взлому аккаунтов в Signal. Немецкая редакция Correctiv обнаружила цифровые следы, указывающие на участие в операции хакеров, которых считают спонсируемыми российским государством.
Пользователи получали сообщения от профиля с ником Signal Support. В этих сообщениях утверждалось, что их учётная запись якобы находится под угрозой, и для её защиты нужно ввести PIN‑код, отправленный приложением. После передачи кода злоумышленники перехватывали учётную запись, получали доступ к списку контактов и могли читать входящие сообщения.
Дополнительно хакеры рассылали ссылки, которые выглядели как приглашения в канал WhatsApp, но на самом деле перенаправляли на фишинговые сайты.
Известные жертвы и реакция спецслужб
Среди пострадавших оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Кроме того, о потере доступа к своему аккаунту сообщил англо‑американский инвестор и критик Кремля Билл Браудер, который рассказал об этом в соцсетях.
О попытках захвата аккаунтов высокопоставленных лиц и военнослужащих в Signal и WhatsApp ранее предупреждала разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, однако конкретные доказательства не были представлены. Похожее заявление опубликовало и ФБР в США.
Позиция Signal
Представители Signal заявили, что осведомлены о происходящем и относятся к проблеме крайне серьёзно. При этом в компании подчеркнули, что речь не идёт о взломе или уязвимости в системе шифрования мессенджера: злоумышленники используют социальную инженерию и обман пользователей.
Фишинговые сайты, «Дефишер» и следы хостинга
Correctiv установило, что ссылки из рассылок вели на сайты, размещённые на серверах хостинг‑провайдера Aeza. Этот провайдер ранее фигурировал в кампаниях, которые связывали с российской пропагандой и преступной активностью при поддержке государства. Компания Aeza и её основатель уже находятся под санкциями США и Великобритании.
Во вредоносные веб‑сайты был встроен фишинговый инструмент «Дефишер». По данным расследователей, он рекламировался на российских хакерских форумах ещё в 2024 году по цене около 690 долларов. Поставщиком называли молодого фрилансера из Москвы. Изначально «Дефишер» создавался для обычных киберпреступников, однако примерно год назад, согласно оценкам экспертов по информационной безопасности, им начали активно пользоваться и хакеры, которых считают спонсируемыми государством.
Предполагаемая группировка UNC5792
Эксперты по ИТ‑безопасности полагают, что за нынешней кампанией может стоять группировка UNC5792, которую ранее обвиняли в аналогичных фишинговых операциях в других странах.
Год назад аналитики Google публиковали отчёт, в котором утверждалось, что UNC5792 рассылала украинским военнослужащим фишинговые ссылки и коды для входа, пытаясь получить доступ к их аккаунтам в мессенджерах.
