Политики, высокопоставленные чиновники и журналисты в разных странах стали целями масштабной кампании по взлому аккаунтов в мессенджере Signal. Цифровые улики, собранные расследователями, указывают на то, что за операцией могут стоять спонсируемые государством российские хакеры.
Как работала схема взлома Signal
Жертвам приходили сообщения от профиля с именем Signal Support. В текстах утверждалось, что учетная запись пользователя якобы находится под угрозой и для защиты необходимо ввести PIN‑код, который приходит от приложения.
После ввода кода злоумышленники получали контроль над аккаунтом, могли просматривать список контактов и читать входящие сообщения.
Помимо этого, адресатам рассылали ссылки, замаскированные под приглашения в канал WhatsApp. На деле они перенаправляли людей на фишинговые сайты.
Кто оказался среди пострадавших
Среди жертв кампании оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также лишился доступа к своему аккаунту в Signal англо‑американский инвестор и давний критик российских властей Билл Браудер.
Реакция спецслужб и разработчиков
О попытках завладеть аккаунтами высокопоставленных чиновников и военнослужащих в Signal и WhatsApp ранее сообщала разведывательная служба Нидерландов, связав кампанию с российскими спецслужбами. Аналогичные выводы опубликовало и ФБР США, однако подробные технические доказательства этих утверждений не раскрывались.
Представители Signal заявили, что знают о проблеме и относятся к ней крайне серьезно. При этом в компании подчеркнули, что речь не идет о взломе системы сквозного шифрования — злоумышленники использовали социальную инженерию и фишинг, а не уязвимость в технологии шифрования.
Инфраструктура атаки: хостинг и «Дефишер»
Расследователи установили, что фишинговые сайты, на которые вели поддельные приглашения, размещались на серверах хостинг‑провайдера Aeza. Эта площадка ранее уже фигурировала в проектах, которые связывали с российскими пропагандистскими и криминальными операциями, поддерживаемыми государством. И сама компания Aeza, и ее основатель находятся под санкциями США и Великобритании.
Внутри вредоносных сайтов был внедрен фишинговый инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным специалистов по кибербезопасности, создателем инструмента является молодой фрилансер из Москвы.
Первоначально «Дефишер» разрабатывался для киберпреступников, действующих в личных интересах. Однако около года назад этим инструментом, по оценке экспертов, начали активно пользоваться и хакеры, которых относят к числу спонсируемых государством.
Подозреваемая группировка и атаки на военных
Эксперты по информационной безопасности считают, что за нынешней кампанией может стоять группировка UNC5792. Эту структуру ранее уже обвиняли в организации схожих фишинговых операций в других странах.
Год назад аналитики Google публиковали отчет, согласно которому UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их учетным записям в мессенджерах.
