За масштабной фишинговой кампанией во мессенджере Signal могут стоять российские хакеры, которых эксперты считают связанными с государственными структурами.
По данным расследователей, иностранные политики, правительственные чиновники и журналисты в разных странах стали жертвами целевой кампании по захвату аккаунтов в Signal. Цифровые улики, изученные специалистами, указывают на возможное участие спонсируемых государством российских хакеров.
Жертвам приходили сообщения от профиля с ником Signal Support. В этих уведомлениях утверждалось, что учетная запись якобы под угрозой, и пользователям предлагали ввести PIN‑код, присланный приложением. Если человек вводил код, злоумышленники получали контроль над аккаунтом, могли просматривать список контактов и читать входящие сообщения.
Помимо этого, фигуранты кампании рассылали ссылки, похожие на приглашения в канал WhatsApp, которые на самом деле вели на фишинговые сайты.
Среди пострадавших оказался бывший вице‑президент немецкой внешней разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также о потере доступа к своему аккаунту сообщал известный англо‑американский критик российских властей Билл Браудер.
О похожих попытках получить доступ к страницам высокопоставленных должностных лиц и военных в Signal и WhatsApp проинформировала и разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, однако открытых доказательств не представили. Аналогичное предупреждение публиковало и ФБР США.
Представители Signal заявили, что осведомлены об атаках и относятся к ним крайне серьезно. При этом в компании подчеркнули, что речь идет не об уязвимости шифрования, а о социальной инженерии и фишинге.
Расследователям удалось установить, что сайты, на которые вели фишинговые ссылки, были размещены на серверах хостинг‑провайдера Aeza. Ранее этот провайдер уже фигурировал в историях о российских пропагандистских и преступных кампаниях, которые, по данным специалистов, курировались государственными структурами. И сама компания, и ее основатель находятся под санкциями США и Великобритании.
Во фишинговые сайты был встроен специальный инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным расследователей, поставщик инструмента — молодой фрилансер из Москвы. Изначально «Дефишер» ориентировали на использование обычными киберпреступниками, однако примерно год назад спонсируемые государством российские хакеры начали активно внедрять его в свои операции, что подтверждают эксперты по информационной безопасности.
Специалисты по кибербезопасности полагают, что за кампанией может стоять группировка UNC5792, которую ранее обвиняли в организации аналогичных фишинговых атак в ряде стран.
Год назад аналитики Google публиковали отчет, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим с целью получения доступа к их аккаунтам в мессенджерах.
