За недавней кампанией по взлому мессенджеров могут стоять российские хакеры, предположительно связанные с государственными структурами.
Иллюстрация с использованием нейросетевых технологий
Иностранные политики, государственные чиновники и журналисты в разных странах стали жертвами целенаправленной кампании по взлому аккаунтов в Signal. Немецкое расследовательское издание Correctiv обнаружило цифровые улики, указывающие на участие российских хакеров, которых считают спонсируемыми государством.
Жертвам рассылали сообщения от профиля с ником Signal Support. В них утверждалось, что их учётная запись якобы находится под угрозой, и предлагалось ввести PIN‑код, отправленный приложением. После ввода кода злоумышленники могли перехватить аккаунт, получить доступ к контактам и читать входящие сообщения.
Кроме того, пострадавшим приходили ссылки, замаскированные под приглашения в канал WhatsApp. На деле они вели на фишинговые сайты.
Среди жертв кампании оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также о потере доступа к своему аккаунту сообщал англо‑американский инвестор и критик российских властей Билл Браудер.
О попытках захвата аккаунтов высокопоставленных лиц и военнослужащих в Signal и WhatsApp заявила и разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, однако доказательства публично не привели. Похожее предупреждение выпустило и американское ФБР.
Представители Signal заверили, что осведомлены о проблеме и относятся к ней максимально серьёзно, но подчеркнули, что речь идёт не о взломе шифрования, а о социальной инженерии и фишинге.
По данным Correctiv, сайты, на которые вели вредоносные ссылки, были размещены на серверах хостинг‑провайдера Aeza. Этот провайдер ранее уже фигурировал в расследованиях о российских пропагандистских и преступных кампаниях, которые, как утверждается, финансировались государством. И сама компания, и её основатель находятся под санкциями США и Великобритании.
Во вредоносные веб‑страницы был встроен фишинговый инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах ещё в 2024 году по цене около 690 долларов. Согласно материалам Correctiv, поставщик инструмента — молодой фрилансер из Москвы. Изначально «Дефишер» создавался для киберпреступников, однако примерно год назад, по данным экспертов по информационной безопасности, им начали активно пользоваться и спонсируемые государством российские хакеры.
Эксперты по кибербезопасности считают, что за кампанией может стоять группировка UNC5792, ранее обвинявшаяся в проведении аналогичных фишинговых операций в разных странах.
Около года назад аналитики Google публиковали отчёт, в котором говорилось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим.
