За масштабной кампанией по взлому аккаунтов в мессенджерах, по данным экспертов, могут стоять российские хакеры, предположительно связанные с государственными структурами.
Иностранные политики, правительственные чиновники и журналисты в разных странах столкнулись с попытками взлома их аккаунтов в Signal. Расследование немецких журналистов выявило цифровые следы, указывающие на возможное участие российских хакеров, действующих под прикрытием государства.
Пользователям приходили сообщения от профиля с ником Signal Support, в которых утверждалось, что их учетная запись якобы находится под угрозой и необходимо ввести PIN‑код, отправленный приложением. После этого злоумышленники получали возможность перехватить учетную запись, увидеть список контактов и читать входящие сообщения.
Кроме того, жертвам рассылали ссылки, замаскированные под приглашения в канал WhatsApp, которые на самом деле перенаправляли на фишинговые сайты.
Среди пострадавших оказался бывший вице‑президент Федеральной разведывательной службы Германии (BND) Арндт Фрейтаг фон Лоринговен. Также о потере доступа к своему аккаунту сообщал англо‑американский финансист и известный критик российских властей Билл Браудер.
О попытках завладеть аккаунтами высокопоставленных лиц и военнослужащих в Signal и WhatsApp также информировала разведывательная служба Нидерландов. Там связали кампанию с российскими спецслужбами, однако конкретных доказательств этих утверждений не привели. Похожее предупреждение опубликовало и ФБР США.
Представители Signal заявили, что осведомлены о проблеме и относятся к ней максимально серьезно, подчеркнув при этом, что речь идет не о взломе системы шифрования, а о фишинговых методах получения доступа к учетным записям.
Журналисты установили, что сайты, на которые вели присылаемые ссылки, размещались на серверах хостинг‑провайдера Aeza. Этот провайдер ранее фигурировал в расследованиях о проведении пропагандистских и преступных операций, которые приписывали российским структурам. Компания Aeza и ее основатель уже находятся под санкциями США и Великобритании.
В вредоносные веб‑сайты был встроен фишинговый инструмент под названием «Дефишер». Его рекламировали на российских хакерских форумах еще в 2024 году по цене около 690 долларов. По данным журналистов, разработчиком инструмента является молодой фрилансер из Москвы. Изначально «Дефишер» создавался для киберпреступников, но примерно год назад им начали активно пользоваться и хакерские группы, которых эксперты связывают с государственными структурами.
Эксперты по IT‑безопасности полагают, что за этой кампанией может стоять группировка UNC5792, ранее уже обвинявшаяся в проведении аналогичных фишинговых операций в других странах.
Ранее аналитики Google публиковали отчет, в котором утверждалось, что UNC5792 рассылала фишинговые ссылки и одноразовые коды для входа украинским военнослужащим, пытаясь получить доступ к их аккаунтам в мессенджерах.
