По данным исследователей кибербезопасности, за масштабной кампанией по взлому аккаунтов в мессенджерах могла стоять группа российских хакеров, предположительно связанная с государственными структурами.
Фишинговая кампания против пользователей Signal и WhatsApp
Иностранные политики, правительственные чиновники и журналисты в разных странах стали мишенью кибератаки, нацеленной на взлом их аккаунтов в Signal. Исследование одной из европейских команд по цифровой безопасности выявило признаки того, что к кампании могут быть причастны спонсируемые государством российские хакеры.
Жертвам приходили сообщения от профиля с именем Signal Support. В тексте утверждалось, что их учетная запись якобы находится под угрозой и необходимо ввести PIN‑код, отправленный приложением. После ввода кода злоумышленники получали контроль над аккаунтом, могли просматривать список контактов и читать входящие сообщения.
Кроме того, хакеры рассылали ссылки, замаскированные под приглашения в канал WhatsApp. На деле они перенаправляли пользователей на фишинговые сайты.
Кого затронула атака
Среди пострадавших оказался бывший вице‑президент Федеральной разведывательной службы Германии (BND) Арндт Фрейтаг фон Лоринговен. Также сообщалось о потере аккаунта в Signal англо‑американским финансистом и давним критиком российских властей Биллом Браудером.
О попытках захвата аккаунтов высокопоставленных должностных лиц и военных в Signal и WhatsApp информировала и разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, хотя конкретные технические доказательства публично приведены не были. Похожее предупреждение выпустило и ФБР США.
Реакция Signal и следы инфраструктуры атаки
Представители Signal заявили, что знают о проблеме и относятся к ней крайне серьезно, подчеркнув при этом, что речь не идет о взломе или уязвимости системы сквозного шифрования мессенджера. Атака была построена на социальной инженерии и злоупотреблении механизмом восстановления доступа.
Расследователям удалось установить, что сайты, на которые вели фишинговые ссылки, размещались на серверах хостинг‑провайдера Aeza. Эта инфраструктура ранее уже фигурировала в кампаниях, связанных с российской пропагандой и киберпреступностью при поддержке государства. Сам хостер и его основатель находятся под санкциями США и Великобритании.
Инструмент «Дефишер» и предполагаемая хакерская группа
Во фишинговые сайты был встроен специализированный инструмент «Дефишер». Его предлагали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным расследователей, разработчиком выступает молодой фрилансер из Москвы. Изначально «Дефишер» создавался для использования киберпреступниками, но примерно год назад им начали активно интересоваться и группы, предположительно работающие в интересах государства, интегрируя этот инструмент в свои операции.
Эксперты по информационной безопасности полагают, что за нынешней кампанией может стоять хакерская группировка UNC5792, ранее обвинявшаяся в проведении аналогичных фишинговых операций за рубежом.
Около года назад аналитики Google публиковали доклад, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
