За масштабной кампанией по взлому аккаунтов в мессенджерах могут стоять связанные с государством российские хакеры, полагают специалисты по кибербезопасности.
Иностранные политики, сотрудники правительственных структур и журналисты в разных странах стали жертвами скоординированной кампании по захвату аккаунтов в Signal. Жертвам рассылались поддельные уведомления службы поддержки, а также фишинговые ссылки.
Пользователи получали сообщения от профиля с ником Signal Support. В них утверждалось, что учетная запись якобы находится под угрозой и для ее защиты необходимо ввести PIN‑код, отправленный приложением. Введенные данные переходили к злоумышленникам, что позволяло им перехватывать учетные записи, просматривать контакты и читать входящие сообщения.
Дополнительно жертвам присылали ссылки, замаскированные под приглашение в канал WhatsApp. На деле они перенаправляли пользователей на фишинговые сайты.
Среди пострадавших оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Кроме того, доступ к своему аккаунту потерял англо‑американский бизнесмен и критик Кремля Билл Браудер.
О попытках получить доступ к аккаунтам высокопоставленных лиц и военнослужащих в Signal и WhatsApp также сообщала разведывательная служба Нидерландов. Там кампанию связали с российскими спецслужбами, но не привели технических доказательств. Похожее предупреждение опубликовало и ФБР США.
Представители Signal заявили, что осведомлены о проблеме и относятся к ней максимально серьезно, подчеркнув при этом, что речь идет не о взломе шифрования приложения, а о социальной инженерии и фишинге.
Расследование показало, что фишинговые сайты, на которые вели вредоносные ссылки, были размещены на серверах хостинг‑провайдера Aeza. Ранее эта площадка уже фигурировала в кампаниях, приписываемых российским государственным структурам, включая пропагандистские и криминальные проекты. На провайдера и его основателя действуют санкции США и Великобритании.
В эти сайты был встроен специализированный фишинговый инструмент «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным расследователей, разработчиком инструмента является молодой фрилансер из Москвы. Изначально «Дефишер» создавался для киберпреступников, но примерно год назад им начали пользоваться и спонсируемые государством российские хакерские группы, утверждают эксперты по информационной безопасности.
По оценкам специалистов, за нынешней кампанией может стоять группировка UNC5792, которую уже обвиняли в организации схожих фишинговых операций в других странах.
Ранее аналитики Google публиковали отчет, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и коды подтверждения украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
