Политики, госчиновники и журналисты из разных стран стали объектами масштабной кампании по взлому аккаунтов в мессенджере Signal, а также через фишинговые ссылки под видом приглашений в WhatsApp. Цифровые улики указывают на участие хакеров, которых эксперты связывают с российскими спецслужбами.
По данным расследователей, жертвам приходили сообщения от профиля с названием Signal Support. В них утверждалось, что учетная запись якобы находится под угрозой, и пользователю предлагали ввести PIN‑код, отправленный приложением. После ввода кода злоумышленники получали контроль над аккаунтом, могли просматривать контакты и читать входящие сообщения.
Помимо этого, жертвам направляли ссылки, оформленные как приглашения в канал WhatsApp. На деле они перенаправляли на фишинговые сайты, созданные специально для кражи данных.
Среди пострадавших оказался бывший вице‑президент германской разведывательной службы BND Арндт Фрейтаг фон Лоринговен. О потере доступа к своему аккаунту также сообщал англо‑американский инвестор и критик российского руководства Билл Браудер.
О попытках захвата аккаунтов высокопоставленных должностных лиц и военнослужащих в Signal и WhatsApp ранее уведомляла и Служба общей разведки и безопасности Нидерландов. Там указали на возможную причастность российских спецслужб, подчеркнув, что прямых доказательств не представлено. Похожее предупреждение публиковало и ФБР США, заявляя о нацеленных атаках на аккаунты в коммерческих мессенджерах.
Команда Signal заявила, что осведомлена о происходящем и относится к ситуации максимально серьезно. Представители сервиса подчеркнули, что речь не идет о взломе или уязвимости системы шифрования: злоумышленники используют социальную инженерию и фишинг для обмана пользователей.
Расследователи установили, что фишинговые сайты, на которые вели разосланные ссылки, были размещены на серверах хостинг‑провайдера Aeza. Эта инфраструктура ранее уже фигурировала в операциях, связываемых с государственно спонсируемыми российскими пропагандистскими и криминальными кампаниями. В настоящий момент хостинг‑провайдер и его основатель находятся под санкциями США и Великобритании.
В созданные веб‑сайты был встроен фишинговый инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным расследователей, автором инструмента является молодой фрилансер из Москвы. Изначально «Дефишер» предназначался для использования обычными киберпреступниками, однако примерно год назад им начали активно пользоваться хакерские группы, которые специалисты по информационной безопасности связывают с российскими госструктурами.
Эксперты по кибербезопасности полагают, что за нынешней кампанией может стоять группа, известная под условным обозначением UNC5792. Ей уже приписывали организацию аналогичных фишинговых операций в других странах.
Около года назад аналитики Google публиковали доклад, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и коды входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах и конфиденциальной переписке.
