За масштабной фишинговой кампанией по взлому аккаунтов в мессенджерах, по данным исследователей, могут стоять российские хакеры, связанные с государственными структурами.
Иностранные политики, правительственные чиновники и журналисты в разных странах стали жертвами атаки на аккаунты в Signal. Немецкое издание Correctiv сообщило о цифровых признаках, указывающих на участие спонсируемых государством российских хакеров.
Пользователям приходили сообщения от профиля с именем Signal Support. В них утверждалось, что учетная запись якобы находится под угрозой, и предлагалось ввести PIN‑код, отправленный приложением. После ввода кода злоумышленники получали контроль над аккаунтом, могли просматривать контакты и читать входящие сообщения.
Кроме того, жертвам рассылались ссылки, внешне похожие на приглашения в канал WhatsApp, но фактически ведущие на фишинговые сайты.
Среди пострадавших оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также о потере доступа к своему аккаунту заявил англо‑американский финансист и критик российского руководства Билл Браудер.
Разведывательная служба Нидерландов предупредила о попытках завладеть аккаунтами высокопоставленных лиц и военнослужащих в Signal и WhatsApp и связала кампанию с российскими спецслужбами, не представив при этом детальных доказательств. Похожее заявление опубликовало и ФБР США.
Представители Signal подтвердили, что осведомлены о проблеме и относятся к ней крайне серьезно, при этом подчеркнули, что речь не идет об уязвимости системы шифрования.
Correctiv установило, что сайты, на которые вели фишинговые ссылки, размещались на серверах хостинг‑провайдера Aeza. Этот провайдер ранее уже фигурировал в расследованиях как инфраструктура для государственных российских пропагандистских и преступных кампаний. Aeza и ее основатель находятся под санкциями США и Великобритании.
Во вредоносные сайты был встроен фишинговый инструмент «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным Correctiv, поставщиком инструмента является молодой фрилансер из Москвы. Изначально «Дефишер» создавался для киберпреступников, однако примерно год назад его начали использовать и группы российских хакеров, действующие при поддержке государства, утверждают эксперты по информационной безопасности.
По оценкам специалистов по кибербезопасности, за кампанией может стоять хакерская группировка UNC5792, ранее обвинявшаяся в проведении аналогичных фишинговых операций в других странах.
Год назад аналитики Google публиковали расследование, в котором указывалось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим.
