Политики, правительственные чиновники и журналисты в разных странах мира стали жертвами масштабной кампании по взлому аккаунтов в мессенджере Signal. Журналисты‑расследователи обнаружили цифровые следы, указывающие на участие российских хакеров, действующих при поддержке государства.
Как проходила атака на аккаунты в Signal
Пользователям приходили сообщения от профиля с названием Signal Support. В текстах утверждалось, что их учетная запись якобы находится под угрозой, и для ее защиты необходимо ввести PIN‑код, отправленный приложением. После передачи этого кода злоумышленники получали контроль над учетной записью, могли просматривать контакты и читать входящие сообщения.
Дополнительно жертвам рассылали ссылки, замаскированные под приглашение в канал WhatsApp, однако они вели на фишинговые сайты.
Кого затронула киберкампания
Среди пострадавших оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Свой аккаунт также потерял англо‑американский финансист и публичный критик российских властей Билл Браудер.
О попытках завладеть аккаунтами высокопоставленных лиц и военнослужащих в Signal и WhatsApp ранее предупреждала разведывательная служба Нидерландов. Там сочли, что за операцией стоят российские спецслужбы, но публичных доказательств не представили. Похожее предупреждение опубликовало и ФБР США.
Реакция Signal
Представители мессенджера Signal сообщили, что знают о происходящем и относятся к инциденту максимально серьезно. При этом компания подчеркнула, что проблема не связана с уязвимостью шифрования — атака основана на социальной инженерии и краже кода подтверждения у самих пользователей.
Инфраструктура и инструменты атаки
Расследователям удалось установить, что фишинговые сайты, на которые вели рассылки, размещались на серверах хостинг‑провайдера Aeza. Этот провайдер ранее уже фигурировал в кампаниях, которые связывали с российской пропагандой и киберпреступностью под покровительством государства. И сама компания, и ее основатель находятся под санкциями США и Великобритании.
Во фишинговые страницы был встроен инструмент «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене 690 долларов. По данным журналистов, разработчиком выступает молодой фрилансер из Москвы. Изначально «Дефишер» создавался для киберпреступников, но около года назад им начали пользоваться и хакеры, которых эксперты относят к группам, спонсируемым государством.
Подозреваемая группировка UNC5792
Эксперты по кибербезопасности полагают, что за кампанией может стоять хакерская группировка UNC5792, которую ранее обвиняли в проведении схожих фишинговых операций в других странах.
Около года назад аналитики Google публиковали доклад, согласно которому UNC5792 рассылала фишинговые ссылки и коды подтверждения украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
