К масштабной кампании по взлому аккаунтов в мессенджерах могут быть причастны российские хакеры, предположительно связанные с государственными структурами.
Международная кампания взломов в Signal
Иностранные политики, правительственные чиновники и журналисты в разных странах стали жертвами целенаправленной кампании по захвату аккаунтов в Signal. Согласно расследованию немецкого издания Correctiv, цифровые улики указывают на то, что за операцией могут стоять спонсируемые государством российские хакеры.
Как работала схема
Пользователям приходили сообщения от профиля с ником Signal Support. В них утверждалось, что учетная запись якобы находится под угрозой, и для защиты необходимо ввести PIN‑код, присланный приложением. После того как жертва отправляла код злоумышленникам, те получали возможность перехватить аккаунт, просматривать контакты и читать входящие сообщения.
Помимо этого, жертвам рассылали ссылки, оформленные как приглашение в канал WhatsApp. На деле они вели на фишинговые сайты, созданные для кражи данных.
Кому удалось взломать аккаунты
Среди пострадавших оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Кроме того, свой аккаунт лишился англо‑американский инвестор и критик российских властей Билл Браудер, о чем он публично сообщил.
Реакция спецслужб и Signal
О попытках захвата аккаунтов высокопоставленных чиновников и военных в Signal и WhatsApp также сообщила Служба общей разведки и безопасности Нидерландов. Там связали кампанию с российскими спецслужбами, однако прямые доказательства не привели. Похожее предупреждение опубликовало и американское ФБР.
Представители Signal заявили, что осведомлены о происходящем и относятся к проблеме максимально серьезно. При этом они подчеркнули, что речь идет не о взломе системы шифрования, а о социальной инженерии и фишинге.
Инфраструктура и инструмент «Дефишер»
По данным Correctiv, фишинговые сайты размещались на серверах хостинг‑провайдера Aeza. Эта площадка ранее уже фигурировала в расследованиях о проведении пропагандистских и преступных кампаний, связываемых с российскими структурами. И компания, и ее основатель находятся под санкциями США и Великобритании.
В используемые веб‑сайты был встроен фишинговый инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По сведениям Correctiv, разработчиком является молодой фрилансер из Москвы. Изначально «Дефишер» предназначался для киберпреступников, но примерно год назад, по оценке экспертов по информационной безопасности, его начали активно внедрять в свои операции и хакеры, предположительно поддерживаемые государством.
Подозрения в адрес группировки UNC5792
Эксперты по ИБ считают, что за нынешней кампанией может стоять хакерская группировка UNC5792, ранее обвинявшаяся в организации схожих фишинговых операций в других странах.
Около года назад аналитики Google публиковали отчет, в котором говорилось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
