Иностранные политики, правительственные чиновники и журналисты в разных странах столкнулись с масштабной кампанией по взлому аккаунтов в мессенджере Signal. Исследователи кибербезопасности выявили цифровые следы, указывающие на возможную причастность к атакам хакеров, предположительно связанных с российскими государственными структурами.
Иллюстрация, созданная с использованием нейросетей
Как работала схема взлома Signal
Пользователи получали сообщения от профиля с названием Signal Support. В этих сообщениях утверждалось, что их учетная запись якобы находится под угрозой, и для сохранения доступа нужно ввести PIN‑код, присланный приложением. После передачи кода злоумышленники получали контроль над аккаунтом, могли просматривать список контактов и читать входящие сообщения.
Кроме того, жертвам рассылали ссылки, выглядевшие как приглашение в канал WhatsApp. На деле эти URL перенаправляли на фишинговые сайты, созданные для кражи данных пользователей.
Кого затронула атака
Среди пострадавших оказался бывший вице‑президент немецкой разведывательной службы BND Арндт Фрейтаг фон Лоринговен. Также сообщалось, что свой аккаунт утратил англо‑американский инвестор и критик российских властей Билл Браудер, о чем он рассказывал в социальных сетях.
О попытках захвата аккаунтов высокопоставленных лиц и военнослужащих в Signal и WhatsApp также уведомляла разведывательная служба Нидерландов. Там связывали кампанию с российскими спецслужбами, однако не представили публичных доказательств. Похожее предупреждение выпускало и ФБР США.
Позиция Signal
Представители Signal заявили, что осведомлены о проблеме и относятся к ней максимально серьезно, однако подчеркнули, что речь не идет о взломе или уязвимости системы шифрования мессенджера. Атака была нацелена на пользователей через социальную инженерию и фишинг.
Инфраструктура атак и инструмент «Дефишер»
Выяснилось, что сайты, на которые вели вредоносные ссылки, размещались на серверах хостинг‑провайдера Aeza. Эта инфраструктура уже ранее использовалась для проведения кампаний, связанных с российской пропагандой и киберпреступностью, спонсируемых на государственном уровне. Компания Aeza и ее основатель находятся под санкциями США и Великобритании.
Во фишинговые сайты был встроен специальный инструмент под названием «Дефишер». Он рекламировался на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным исследователей, разработчиком выступил молодой фрилансер из Москвы. Первоначально «Дефишер» создавался для обычных киберпреступников, но примерно год назад, по оценке экспертов в области информационной безопасности, его начали активно интегрировать в свои операции и хакеры, предположительно действующие в интересах государства.
Предполагаемая группировка и предыдущие атаки
Специалисты по IT‑безопасности считают, что за нынешней кампанией может стоять хакерская группировка UNC5792, ранее обвинявшаяся в организации аналогичных фишинговых операций в других странах.
Около года назад аналитики Google публиковали расследование, в котором сообщалось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, стремясь получить доступ к их аккаунтам в мессенджерах.
